Установка и базовая настройка DHCP
В CentOS/RHEL можно установить DHCP-сервер с помощью менеджера пакетов из базового репозитория:
– установка DHCP сервера для CentOS/RHEL 8
– установка DHCP сервера для CentOS/RHEL 7
Конфигурационный файл DHCP сервиса — /etc/dhcp/dhcpd.conf. Откройте в него и добавьте описание DHCP зоны (IP подсети) с настройками, которые ваш DHCP сервер должен выдавать клиентам.
subnet 15.10.0.0 netmask 255.255.255.0 { range 15.10.0.100 15.10.0.200; option domain-name-servers 77.88.8.8, 8.8.8.8; option domain-name "winitpro.ru"; option routers 15.10.0.1; option broadcast-address 15.10.0.255; default-lease-time 3600; max-lease-time 7200; }
Краткое описание настраиваемых параметров DHCP зоны:
- subnet – адресное пространство (IP сеть), которое обслуживает данный DHCP сервер;
- option domain-name — параметр задает доменное имя, которое клиенты используют при запросах к DNS;
- range – диапазон IP адресов, из которого будут назначаться адреса устройствам;
- option domain-name-servers – адреса DNS серверов, которые будут использоваться клиентом;
- option routers — IP адрес шлюза, который будет использоваться DHCP клиентом
- default-lease-time, max-lease-time – время и максимальное время (в сек) на которое выдается IP адрес клиенту. После истечения этого времени IP клиент должен продлить срок аренды.
- option broadcast-address — широковещательный (бродкаст) адрес IP сети;
Некоторые опции DHCP можно задать на уровне глобальных параметров DCHP сервера (в начале файла dhcpd.conf). Например:
option domain-name "winitpro.ru"; option domain-name-servers 77.88.8.8, 8.8.8.8; default-lease-time 3600; max-lease-time 7200; authoritative; log-facility local7;
Для проверки корректность настройки конфигурационного файла DHCP сервера используется команда:
На скриншоте с цифрой 1 показан пример проверки при корректной настройке конфигурационного файла DHCP. В сегменте с цифрой 2 показано, что при наличии ошибок в конфигурации утилита dhcpd указывает на них.
Добавьте сервис dhcpd в автозагрузку и запустите:
У меня сразу сервис не запустился. Служба dhcpd вернула ошибку:
Not configured to listen on any interfaces!
На виртуальной машине у меня два интерфейса, на одном прописан белый IP-адрес, а второй пустой. В подобном случае, нужно указать конкретный интерфейс для работы DHCP и прописать на нем адрес из сети, которую мы будем раздавать клиентам.
Откройте файл:
Добавьте в него следующую строку:
DHCPDARGS=ens5
Где ens5 — это имя сетевого интерфейса, котором будет обслуживать DHCP запросы.
Затем создайте файл конфигурации сетевого интерфейса (если он не создан):
TYPE="Ethernet" DEVICE="ens5" ONBOOT="yes" BOOTPROTO="static" IPADDR="15.10.0.5" NETMASK="255.255.255.0" DNS1=77.88.8.8
Выполните рестарт сети:
– для CentOS/RHEL 7 – для CentOS/RHEL 8
Когда настройки сети будут выполнены и применены, можно запустить сам сервис dhcpd:
Сервис успешно настроен и запущен. Чтобы DHCP-клиент мог получить адрес с нашего сервера, нужно добавить сервис в исключения в firewalld:
Если вы используете другой файерволл, откройте 67 UDP порт на нем.
Работа с утилитой ifconfig
В завершении сетевых настроек хотел немного поговорить об ifconfig. Ранее я упомянул, что более современным средством для настройки сети является утилита ip. В последних релизеах Debian и CentOS ifconfig вообще исключили из базовой установки, ее приходится устанавливать отдельно. IP объединяет в себе два функционала — настройка сетевых интерфейсов и маршрутизации. То есть по сути она заменяет ifconfig + route. В ней реализован функционал обоих программ.
Сам я привык к ifconfig, так как она есть не только в linux, но и в freebsd. Удобно использовать одно и то же средство во всех дистрибутивах. Но последнее время переучиваюсь на ip, так как надо идти в ногу со временем. Тенденция такова, что ip будут продвигать все сильнее и сильнее в силу его большей новизны и, наверное, удобства. Что касается удобства, лично я ничего не могу сказать, мне совершенно все равно, какую команду использовать:
или
Делают они одно и то же. Остальные команды по конфигурированию сетевых интерфейсов тоже не сильно отличаются, просто пишутся немного по-разному. Вот пример работы с маршрутами:
или
В случае с ip мы работаем с одной командой, а не двумя. Чем пользоваться вам, выбирайте сами. Если не привыкли к чему-то конкретному, рекомендую использовать ip. Мне было бы любопытно узнать, кто, что использует. Оставьте свой комментарий на эту тему.
На этом я завершаю свой материал по теме настройки сети в debian. Я рассмотрел все наиболее значимые и необходимые параметры, с которыми приходится сталкиваться во время конфигурирования сервера.
Сторонние службы DNS
Примечание: Перед использованием DNS-службы какой-либо компании обязательно изучите её политику в отношении приватности и то, как обрабатываются пользовательские данные. Данные представляют некоторую ценость и могут быть проданы третьей стороне.
Существует целый от независимых производителей; для некоторых из них также разработаны специализированные программы.
cloudflared — DNS-клиент с поддержкой DNS over HTTPS от Coudflare.
dingo — DNS-клиент с поддержкой DNS over HTTPS от Google.
opennic-up — позволяет автоматизировать обновление DNS-серверов с помощью серверов OpenNIC.
nextdns — Консольный DNS-over-HTTPS клиент для NextDNS.
Указываем сетевые параметры
Итак, у нас в наличии только что установленная система. Узнать или проверить ее версию можно командами:
# uname -a Linux debian10 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux # lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster
Очень подробно про настройку сети в Debian я написал в отдельной статье. Рекомендую с ней ознакомиться. Здесь же кратко выполним основное. Для настройки сети, необходимо отредактировать файл /etc/network/interfaces. Сделаем это:
# nano /etc/network/interfaces
Для получения IP адреса по dhcp достаточно будет следующего содержания:
allow-hotplug eth0 iface eth0 inet dhcp
Если у вас статический адрес, то его настроить можно следующими параметрами в файле:
allow-hotplug eth0 iface eth0 inet static address 192.168.1.24 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 192.168.1.1
Сохраняем файл. Теперь нужно выполнить перезапуск сети. В Debian это делается командой:
# systemctl restart networking.service
В системном логе /var/log/syslog при этом будут записи:
debian10 systemd: Stopping Raise network interfaces... debian10 systemd: networking.service: Succeeded. debian10 systemd: Stopped Raise network interfaces. debian10 systemd: Starting Raise network interfaces... debian10 systemd: Started Raise network interfaces.
Будьте аккуратны при настройке и перезапуске сети, если подключаетесь к серверу удаленно. Обязательно должен быть доступ к консоли на случай, если где-то ошибетесь и потеряете доступ к серверу.
К сетевым настройкам я отношу установку пакета net-tools, в состав которого входят старые и привычные утилиты для работы с сетью — ifconfig, netstat, route и другие. В современных дистрибутивах их заменили одной командой ip, но лично мне вывод некоторых старых команд, конкретно, netstat, нравится больше, поэтому я иногда ими тоже пользуюсь.
# apt install net-tools
На этом настройка сети закончена.
Программа resolvconf
Программа resolvconf следит за информацией о доступных на данных момент серверов имён. Не следует путать её с одноимённым конфигурационным файлом resolv.conf. Программа resolvconf является опциональной для систем Debian.
Конфигурационный файл resolv.conf содержит информацию о серверах имён, которые используются в системы. Однако, когда множеству программ необходимо динамически изменять файл resolv.conf они начинают мешать друг другу и файл становиться не синхронизируемым (out-of-sync). Программа resolvconf решает эту проблему. Она является посредником между программами которые поставляют информацию о серверах имён (например dhcp клиент) и программами которые используют эту информацию (например резолвер).
Если resolvconf правильно установлена, конфигурационный файл resolv.conf заменяется символьной ссылкой на файл /etc/resolvconf/run/resolv.conf и резолвер использует файл, который динамически генерируется программой resolvconf.
Программа resolvconf, в общем случае, необходима когда в системе присутствуют программы которым необходимо часто изменять информацию о серверах имён. В простых системах где нет таких программ, достаточно просто файла resolv.conf.
Если программа resolvconf установлена, то Вам не следует вручную редактировать файл resolv.conf , так как он будет динамически меняться программами в системе. Если Вам необходимо вручную задать сервера имён (например при статически сконфигурированном интерфейсе), добавьте в конфигурационный файл interfaces следующую строчку:
dns-nameservers 12.34.56.78 12.34.56.79
Разместите эту строчку в описании интерфейса iface, сразу после указания шлюза gateway. IP адрес сервера имёны необхожимо ввести после слова dns-nameservers. Если IP адресов несколько то они разделяются пробелом. Не забудьте написать «s» в конце слова dns-nameservers.
Программа resolvconf была добавлена в Debian сравнительно недавно и многие старые программы необходимо обновить и переконфигурировать для правильно работы. Если у Вас возникли проблемы, смотрите файл /usr/share/doc/resolvconf/README. Он содержит полную информацию по работе resolvconf с другими программами.
Опции HTTP
- —http-user=ИМЯ
—http-passwd=ПАРОЛЬ -
Определяет ИМЯ пользователя и ПАРОЛЬ для доступа к HTTP серверу.
В соответствии с типом запроса авторизации Wget будет использовать либо
«basic» (не защищенную), либо «digest» (защищенную) схему авторизации.Другим способом задания имени пользователя и пароля является их
непосредственное указание в URL
(см. ). Дополнительная информация
по вопросам безопасности доступна в разделе
. - -C on/off
—cache=on/off -
Когда отключено (off), дезактивирует кэширование на стороне сервера.
В этом случае Wget будет передавать удаленному серверу соответствующую
директиву («Pragma: no-cache») с целью получения файла от удаленной службы,
а не его кэшированной версии. Это применимо в особенности для получения
и обновления устаревших документов на прокси серверах.По умолчанию кэширование разрешено.
- —ignore-length
-
К сожалению некоторые HTTP сервера (CGI программы, если быть точным)
посылают некорректную информацию в заголовке «Content-Length», что «бесит»
Wget, так как он думает, что не весь документ был получен. Вы можете «вылечить»
это синдром если Wget начнет повторять запрос одного и того же документа
снова и снова, каждый раз мотивируя это тем, что не все данные получены
на одном и том же месте.С этой опцией Wget будет игнорировать заголовок «Content-Length» как бут-то
его вообще не существовало. - —header=ДОПОЛНИТЕЛЬНЫЙ-ЗАГОЛОВОК
-
Задает ДОПОЛНИТЕЛЬНЫЙ-ЗАГОЛОВОК для передачи его HTTP серверу.
Заголовки должны содержать «:» с предшествующим одним или более не
пробельным символом и не должны содержать символа новой строки.Вы можете задавать более одного заголовка неоднократным использованием
«—header».wget --header='Accept-Charset: koi8-r' \ --header='Accept-Language: ru' \ http://www.debian.org/
Определение заголовка как пустой строки приведет к очищению всех
ранее заданных заголовков. - —proxy-user=ИМЯ
—proxy-passwd=ПАРОЛЬ -
Определяет ИМЯ пользователя и ПАРОЛЬ для авторизации на прокси сервере.
Wget кодирует их использую «basic» схему авторизации. - -s
—save-headers -
Сохранять HTTP заголовки передаваемые сервером в файле, отделяя их
от актуального содержимого пустой строкой. - -U ИДЕНТИФИКАТОР-АГЕНТА
—user-agent=ИДЕНТИФИКАТОР-АГЕНТА -
Представляться HTTP серверу как ИДЕНТИФИКАТОР-АГЕНТА.
Протокол HTTP позволяет программе-клиенту идентифицировать себя используя
поле заголовка «User-Agent». Это позволяет программному обеспечению WWW
серверов различать клиентов, обычно для статистических целей или с целью
отслеживания нарушений протокола. Нормально Wget идентифицируется как
«Wget/ВЕРСИЯ», где ВЕРСИЯ — текущий номер версии Wget.Однако на некоторых сайтах используется политика модификации
содержимого в зависимости от типа клиента определяемого по полю
«User-Agent». В большинстве это не плохая идея, но существуют
сервера отказывающие в доступе к информации клиентам отличным
от «Mozilla» или «Internet Explorer». Эта опция позволяет изменить
поле «User-Agent» используемое Wget. Использование данной опции
не желательно без крайней на то необходимости.ЗАМЕТИМ, что Netscape Communications Corp. заявляет, что
ложные передачи «Mozilla» как «User-Agent» нарушает их авторские права.
НЕ ПРЕДСТАВЛЯЙТЕ Wget как Mozilla. - -B URL
—base=URL -
Определяет базу для относительных URL, т.е. работает аналогично
HTML тегу . Все относительные ссылки
в HTML документе будут разрешаться в абсолютные с использованием указанного
в аргументе опции значения. Данная опция применима, когда для указания
списка выгружаемых файлов используется входной файл в формате HTML задаваемый
через опцию .
Настройка firewall (iptables) в Debian
В качестве firewall в Debian по-умолчанию используется iptables, его и будем настраивать. Изначально фаервол полностью открыт и пропускает весь трафик. Проверить список правил iptables можно следующей командой:
# iptables -L -v -n Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Обращаю пристальное внимание на то, что настраивать firewall без прямого доступа к консоли сервера не следует. Особенно, если вы не очень разбираетесь в этом и копируете команды с сайта
Шанс ошибиться очень высок. Вы просто потеряете удаленный доступ к серверу.
Создадим файл с правилами iptables:
# mcedit /etc/iptables.sh
Очень подробно вопрос настройки iptables я рассмотрел отдельно, рекомендую ознакомиться. Хотя в примере другая ОС linux, принципиальной разницы нет, настройки iptables абсолютно одинаковые, так как правила одни и те же.
Добавляем набор простых правил для базовой настройки. Все необходимое вы потом сможете сами открыть или закрыть по аналогии с существующими правилами:
#!/bin/bash # # Объявление переменных export IPT="iptables" # Активный сетевой интерфейс export WAN=ens18 export WAN_IP=10.20.1.16 # Очистка всех цепочек iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Установим политики по умолчанию для трафика, не соответствующего ни одному из правил $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # разрешаем локальный траффик для loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # разрешаем пинги $IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Разрешаем исходящие соединения самого сервера $IPT -A OUTPUT -o $WAN -j ACCEPT # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении. # Пропускать все уже инициированные соединения, а также дочерние от них $IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Пропускать новые, а так же уже инициированные и их дочерние соединения $IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешить форвардинг для уже инициированных и их дочерних соединений $IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU $IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Отбрасывать все пакеты, которые не могут быть идентифицированы # и поэтому не могут иметь определенного статуса. $IPT -A INPUT -m state --state INVALID -j DROP $IPT -A FORWARD -m state --state INVALID -j DROP # Приводит к связыванию системных ресурсов, так что реальный # обмен данными становится не возможным, обрубаем $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP # Открываем порт для ssh (!!!не забудьте указать свой порт, который вы изменили ранее!!!) $IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT # Открываем порт для web сервера $IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT # Записываем правила в файл /sbin/iptables-save > /etc/iptables_rules
Даем файлу права на запуск:
# chmod 0740 /etc/iptables.sh
Запускаем скрипт:
sh /etc/iptables.sh
Проверяем правила:
# iptables -L -v -n
Проверяем, что правила записались в файл /etc/iptables_rules. Если их там нет, то записываем их вручную.
# /sbin/iptables-save > /etc/iptables_rules
Правила применились и произошла их запись в файл /etc/iptables_rules. Теперь нужно сделать так, чтобы они применялись при загрузке сервера. Для этого делаем следующее. Открываем файл /etc/network/interfaces и добавляем в него строку pre-up iptables-restore < /etc/iptables_rules Должно получиться вот так:
# cat /etc/network/interfaces allow-hotplug eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables_rules
Для проверки перезагрузите сервер и посмотрите правила iptables. Должен загрузиться настроенный набор правил из файла /etc/iptables_rules.
Caveats when using bridging and vlan
#/etc/network/interfaces auto eth0 bri0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 iface eth0.110 inet manual vlan-raw-device eth0 iface bri0 inet static address 192.168.110.1 network 192.168.110.0 netmask 255.255.255.0 broadcast 192.168.110.255 bridge_ports eth0.110 bridge_stp on bridge_maxwait 10
If you are using a brigded VLAN setup, which is probably useful for networking in virtualization environments, take care to only attach either a bridge device or VLAN devices to an underlying physical device — like shown above. Attaching the physical interface (eth0) to a bridge (eg. bri1) while using the same physical interface on apparently different VLANs will result in all packets to remain tagged. (Kernel newer than 2.6.37 and older than 3.2).
Настройка TCP/IP в Linux для работы в сети Ethernet
Для работы с сетевыми протоколами TCP/IP в Linux достаточно наличие только петлевого интерфейса, но если необходимо объединить хосты между собой, естественно, необходимо наличие сетевого интерфейса, каналов передачи данных (например витая пара), возможно, какого-либо сетевого оборудования. Так же, необходимо наличие установленных (, и др.), обычно поставляемые в . Так же необходимо наличие конфигурационных файлов для сети (например /etc/hosts) и поддержку сети ядром Linux.
Параметры сети
Начнем понимание сетевых механизмов Linux с ручного конфигурирования сети, то есть со случая, когда IP адрес сетевого интерфейса статичен. Итак, при настройке сети, необходимо учесть и настроить следующие параметры:
IP-адрес — как уже говорилось в первой части статьи — это уникальный адрес машины, в формате четырех десятичных чисел, разделенных точками. Обычно, при работе в локальной сети, выбирается из частных диапазонов, например: 192.168.0.1
Маска подсети — так же, 4 десятичных числа, определяющие, какая часть адреса относиться к адресу сети/подсети, а какая к адресу хоста. Маска подсети является числом, которое складывается (в двоичной форме) при помощи логического И, с IP-адресом и в результате чего выясняется, к какой подсети принадлежит адрес. Например адрес 192.168.0.2 с маской 255.255.255.0 принадлежит подсети 192.168.0.
Адрес подсети — определяется маской подсети. При этом, для петлевых интерфейсов не существует подсетей.
Широковещательный адрес — адрес, используемый для отправки широковещательных пакетов, которые получат все хосты подсети. Обычно, он равен адресу подсети со значением хоста 255, то есть для подсети 192.168.0 широковещательным будет 192.168.0.255, аналогично, для подсети 192.168 широковещательным будет 192.168.255.255. Для петлевых интерфейсов не существует широковещательного адреса.
IP адрес шлюза — это адрес машины, являющейся шлюзом по-умолчанию для связи с внешним миром. Шлюзов может быть несколько, если компьютер подключен к нескольким сетям одновременно. Адрес шлюза не используется в изолированных сетях (не подключенных к глобальной сети), потому что данным сетям некуда отправлять пакеты вне сети, то же самое относиться и к петлевым интерфейсам.
IP-адрес сервера имен (DNS — сервера) — адрес сервера преобразующего имена хостов в IP адреса. Обычно, предоставляется провайдером.
Настройка DNS в Debian
Сперва мы ознакомимся с файлом /etc/resolv.conf. Это — это основной файл настройки библиотеки распознавателя имен DNS. Распознаватель — это библиотека на языке Cи, именно она обеспечивает доступ к DNS для программ в системе.
Его функции настроены на следующее:
- На проверку записей в файле /etc/hosts или на нескольких серверах DNS;
- На использование базы данных хостов NIS (Информационная служба сети);
В современных Linux-системах, которые используют systemd, локальные приложения получают доступ к DNS через демон system-resolved. По умолчанию эта служба имеет четыре различных режима и использует по умолчанию файл-заглушку. Его путь: /run/systemd/resolve/stub-resolv.conf.
В данном файле используется в качестве единственного DNS-сервера заглушка — 127.0.0.53, которая перенаправляет обращения к локальному DNS серверу, а он, в свою очередь уже получает информацию от других серверов в интернете. Надеюсь, вы поняли суть.
К сожалению, из-за того, что /etc/resolv.conf не прямо управляется службой systemd-resolved, а иногда с помощью использования initscripts или NetworkManager, любые пользовательские изменения НЕ будут сохранены. С учетом всех сложностей, описанных выше, я хочу поделиться с вами информацией о том, как настроить DNS на Debian в этом злополучном файле /etc/resolv.conf.
Шаг 1. Содержимое /etc/resolv.conf
Чтобы это сделать мы откроем терминал и напишем команду:
В нем мы видим имя сервера nameserver 192.168.1.1 и больше ничего. Это пока что, но мы к нему вернемся.
Шаг 2. Установка resolvconf
Обязательно обновим систему с помощью команды:
После обновления устанавливаем resolvconf. Для этого пишем команду:
После установки система должна автоматически запустить службу resolvconf.service. Чтобы проверить так ли это вам надо будет использовать команду:
Здесь мы видим, что служба не запущена, но бывает, что триггер срабатывает автоматически. Так или иначе, нам надо запустить эту службу. Используем следующие команды:
Как вы поняли, с помощью sudo systemctl start resolvconf.service и sudo systemctl enable resolvconf.service мы запускаем службу, а sudo systemctl status resolvconf.service отобразит состояние активности этой службы.
Шаг 3. Настройка DNS
Теперь откройте файл /etc/resolvconf/resolv.conf.d/head. Делается это с помощью команды:
Прекрасно, следующим шагом будет внесение данных в этот файл. Вписываем в него следующие строки так, как это показано на скриншоте:
Сохраняем изменения с помощью ctrl+o -> Enter -> ctrl+x. Теперь надо перезагрузить систему, чтобы изменения пришли в действие.
Шаг 4. Проверяем файл /etc/resolv.conf
После перезагрузки снова открываем терминал и пишем команду для запуска службы (это вторичная мера, у меня, например, триггер сработал автоматически):
Видим, что служба запущена. Переходим в наш конфигурационный файл, который был описан в самом начале статьи. Используем команду:
На скриншоте отображены те самые данные, которые мы внесли в файл — nameserver 8.8.8.8 и nameserver 8.8.4.4 На этом все! Настройка DNS Debian завершена. Достаточно легко и просто, а главное, что все работает.
Подготовка сервера
Если у вас еще нет готового сервера, то можете воспользоваться моими материалами на эту тему — установка и настройка centos 7. Так же рекомендую настроить iptables для корректной работы сервера с доменом windows. Далее я не буду каcаться этого вопроса, мы просто отключим фаерволл, потому что его настройка не тема этой статьи.
xs.local | название домена |
10.1.3.4 | ip адрес контроллера домена |
xs-winsrv.xs.local | полное имя контроллера домена |
xs-centos7-test | имя сервера centos, который вводим в домен |
administrator | учетная запись администратора домена |
gr_linux_adm | группа в AD, для которой разрешено подключение к серверам по ssh |
lin-user | учетная запись в AD для проверки подключений по ssh |
Выключаем firewalld:
# systemctl stop firewalld && systemctl disable firewalld
Перед дальнейшей настройкой, убедитесь, что с вашего сервера centos вы без проблем пингуете и резолвите контроллер домена по полному имени. Если есть какие-то проблемы, исправьте это либо указанием нужного dns сервера, либо правкой файла hosts.
Настроим синхронизацию времени с контроллером домена
Это важно, у вас должно быть одинаковое время с контроллером домена. Проверьте его и убедитесь, что стоят одинаковые часовые пояса
Устанавливаем утилиту для синхронизации времени chrony:
# yum install chrony
Добавляем в конфиг /etc/chrony.conf адрес контроллера домена. И делаем его единственным сервером для синхронизации, остальные удаляем.
server xs-winsrv.xs.local iburst
Сохраняем конфиг, запускаем chrony и добавляем в автозагрузку.
# systemctl start chronyd && systemctl enable chronyd
Проверим, что с синхронизацией.
# cat /var/log/messages | grep chronyd Jul 12 17:58:38 xs-centos7-test chronyd: chronyd version 2.1.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +DEBUG +ASYNCDNS +IPV6 +SECHASH) Jul 12 17:58:38 xs-centos7-test chronyd: Frequency 0.000 +/- 1000000.000 ppm read from /var/lib/chrony/drift Jul 12 17:02:54 xs-centos7-test chronyd: Selected source 10.1.3.4 Jul 12 17:02:54 xs-centos7-test chronyd: System clock wrong by -3348.457170 seconds, adjustment started Jul 12 17:02:54 xs-centos7-test chronyd: System clock was stepped by -3348.457170 seconds
Все в порядке. Синхронизировали время с контроллером домена. По логу видно, что время на сервере убежало вперед на 56 минут, но мы это исправили.
Как узнать свой ip-адрес
Чтобы узнать ip-адрес системы можно выполнить следующие команды:
ifconfig | grep inet inet addr:93.170.169.118 Bcast:93.170.169.255 Mask:255.255.254.0 inet6 addr: fe80::5054:ff:fe8b:f117/64 Scope:Link inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host ip addr | grep inet inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host inet 93.170.169.118/23 brd 93.170.169.255 scope global ens3 inet6 fe80::5054:ff:fe8b:f117/64 scope link
На данный момент команда ifconfig является хоть и устаревшей, но еще работающей командой (В CentOS требуется установить пакет net-tools). Начиная с ядра версии 2.2 ей на смену пришел пакет iproute2, состоящий из утилит: ip, tc, ss.
Техническая неисправность
Эта страница руководства описывает Linux как простой язык управления доступом, основанный на шаблонах клиента (имя / адрес хоста, имя пользователя) и сервера (имя процесса, имя / адрес хоста). Примеры приведены в конце. Нетерпеливому читателю рекомендуется перейти к разделу «Примеры» для быстрого ознакомления. Расширенная версия языка управления доступом описана в документе hosts_options (5). Расширения включаются во время сборки программы путем сборки с помощью —DPROCESS_OPTIONS.
В следующем тексте daemon — это имя процесса сетевого демона, а client — это имя и / или адрес службы, запрашивающей хост. Имена процессов сетевого демона указываются в файле конфигурации inetd.
Узоры
Язык управления доступом реализует следующие шаблоны:
Строка, которая начинается с `. ‘ персонаж. Имя хоста сопоставляется, если последние компоненты его имени соответствуют указанному шаблону. Например, шаблон `.tue.nl ‘соответствует имени хоста` wzv.win.tue.nl’.
Строка, которая заканчивается на `. ‘ персонаж. Адрес хоста сопоставляется, если его первые числовые поля соответствуют заданной строке. Например, шаблон `131.155. ‘ соответствует адресу (почти) каждого хоста в сети Эйндховенского университета (131.155.xx).
Строка, начинающаяся с символа `@ ‘, обрабатывается как имя сетевой группы NIS (ранее YP). Имя хоста сопоставляется, если оно является членом хоста указанной сетевой группы. Соответствия сетевых групп не поддерживаются для имен процессов демона или для имен пользователей клиента.
Выражение вида `nnnn / mmmm ‘интерпретируется как пара` net / mask’. Адрес хоста IPv4 сопоставляется, если `net ‘равно битовому AND адреса и’ mask ‘. Например, шаблон net / mask `131.155.72.0/255.255.254.0 ‘соответствует каждому адресу в диапазоне от` 131.155.72.0’ до `131.155.73.255 ‘.
Выражение вида ` / m ‘интерпретируется как пара` / prefixlen’. Адрес хоста IPv6 совпадает, если префиксные биты net равны префиксным битам адреса. Например, шаблон / prefixlen ` / 64 ‘соответствует каждому адресу в диапазоне от 3ffe: 505: 2: 1 :: до 3ffe: 505: 2: 1: FFFF: FFFF: FFFF: FFFF.
Строка, которая начинается с символа `/ ‘, рассматривается как имя файла . Имя хоста или адрес совпадают, если оно соответствует какому-либо имени хоста или шаблону адреса, указанному в названном файле. Формат файла — ноль или более строк с нулями или более имен хостов или шаблонов адресов, разделенных пробелами. Шаблон имени файла можно использовать везде, где можно использовать имя хоста или шаблон адреса.
Подстановочные знаки `* ‘и`?’ может использоваться для сопоставления имен хостов или IP-адресов . Этот метод сопоставления нельзя использовать вместе с сопоставлением `net / mask ‘, сопоставление имени хоста начинается с`.’ или сопоставление IP-адреса, оканчивающееся на `. ‘.
Настройка сетевых интерфейсов в Debian & Ubuntu
За конфигурацию интерфейсов в Debian отвечает файл interfaces, расположенный в каталоге /etc/network/. В Debian & Ubuntu все интерфейсы прописываются в одном файле. В Debian интерфейсы именуются eth0, eth1 и т.д. В Ubuntu — enp0s3 и т.д.
Содержание файла interfaces: # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 iface eth0 inet dhcp
Данная конфигурация обозначает получение динамического ip-адреса при загрузке системы.
- allow-hotplug eth0 — инициализация интерфейса eth0 при определении ядром, грубо говоря запуск.
- iface eth0 inet dhcp — назначение динамического адреса для eth0, значение inet dhcp.
- iface lo inet loopback — интерфейс обратной петли lo, локальный интерфейс другими словами.
- auto lo — старт при загрузке.
Строки начинающиеся со слов «auto», используются для идентификации интерфейсов при их подъеме командой ifup -a (c доп. опцией -a), именно так поднимает интерфейсы система при загрузке. Имена интерфейсов следуют за словом «auto» в этой же строке, ifup поднимет их в порядке перечисления. Строк начинающихся с «auto» может быть несколько.
Строки, начинающиеся со слов «allow-» используются для идентификации интерфейсов, которые должны быть подняты автоматически различными подсистемами.
Для задания интерфейса со статическим ip-адресом могут использоваться следующие опции.
- inet static — указывает на статический ip-адрес
- address — задает ip-адрес
- netmask — указание маски подсети
- gateway — указание шлюза
- network — указание адреса подсети
- broadcast — указание широковещательного канала.
- dns-nameservers — указывает имена DNS-серверов (Если установлен пакет resolvconf)
Интерфейс настроенный на получение статического ip-адреса будет выглядеть так.
Конечный вид файла с внесенными изменениями: # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.1.7 netmask 255.255.255.0 gateway 192.168.1.1 network 192.168.1.0 broadcast 192.168.1.255
Для применения изменений перезапустим интерфейс.
ifdown eth0 && ifup eth0
% Расширений
В командах оболочки доступны следующие расширения:
- % a (% A) — адрес хоста клиента (сервера) .
- % c — Информация о клиенте: user @ host, user @ address, имя хоста или просто адрес, в зависимости от объема доступной информации.
- % d — имя процесса демона (значение argv ).
- % h (% H) — имя или адрес хоста клиента (сервера), если имя хоста недоступно.
- % n (% N) — имя хоста клиента (сервера) (или «неизвестно», или «параноик»).
- % p — идентификатор процесса демона.
- % s — Информация о сервере: daemon @ host, daemon @ address или просто имя демона, в зависимости от объема доступной информации.
- % u — Имя пользователя клиента (или «неизвестно»).
- %% — расширяется до одного символа `% ‘.
Символы в% расширениях, которые могут запутать оболочку, заменяются символами подчеркивания.
Mostly Closed
In this case, access is denied by default. Only explicitly authorized hosts are permitted access.
The default policy (no access) is implemented with a trivial deny file:
/etc/hosts.deny:
ALL: ALL
This denies all service to all hosts, unless they are permitted access by entries in the allow file.
The explicitly authorized hosts are listed in the allow file. For example:
/etc/hosts.allow:
ALL: LOCAL @some_netgroupALL: .foobar.edu EXCEPT terminalserver.foobar.edu
The first rule permits access from hosts in the local domain (no `.’ in the host name) and from members of the some_netgroup netgroup. The second rule permits access from all hosts in thefoobar.edu domain (notice the leading dot), with the exception of terminalserver.foobar.edu.
Заключение
На этом все. Я рассмотрел наиболее типовую ситуацию, которая может быть полезной при использовании структуры AD совместно с linux серверами. При написании статьи использовал официальные руководства:
- Deployment, Configuration and Administration of Red Hat Enterprise Linux 6
- sssd.conf — Linux man page
Почему-то из руководства по RHEL 7 раздел, посвещенный SSSD убрали, хотя в 5 и 6 есть. Может просто я не заметил, так как структура сильно поменялась. Люблю я CentOS в первую очередь за отличную документацию Redhat. Там есть подробное описание практически всего, с чем приходилось сталкиваться. Надо только не лениться в английском языке разбираться.
Онлайн курс по Linux
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.
Что даст вам этот курс:
- Знание архитектуры Linux.
- Освоение современных методов и инструментов анализа и обработки данных.
- Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
- Владение основными рабочими инструментами системного администратора.
- Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
- Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.
Проверьте себя на вступительном тесте и смотрите подробнее программу по .