Денис Колисниченко - Linux-сервер своими руками
- Название:Linux-сервер своими руками
- Автор:
- Жанр:
- Издательство:Наука и Техника
- Год:2002
- Город:Санкт-Петербург
- ISBN:5-94387-063-6
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Денис Колисниченко - Linux-сервер своими руками краткое содержание
В книге подробно рассмотрены настройки сетевых сервисов, позволяющих создать сервер требуемой конфигурации и функциональности на основе ОС Linux. Вы сможете настроить сервер любого типа: от сервера локальной сети до Интернет-сервера и сервера удаленного доступа. Детальна описано администрирование Linux.
Изложение материала построено на основе дистрибутивов Red Hat и Mandrake. Много уникальной информации: запуск Windows-игр под Linux и создание Linux-сервера для игрового зала, настройка антивирусов Dr. Web и AVP под Linux, программа учета трафика MRTG, система защиты и обнаружения атак LIDS, а также многое другое. Особое внимание уделено безопасности Linux-серверов. Достаточно подробно описана сама ОС Linux и приведен справочник ее команд. Прочитав книгу, вы станете обладателями знаний по настройке и компилированию ядра, созданию собственных rpm-пакетов, командному интерпретатору bash, использованию массивов RAID. Вы узнаете внутренний мир Linux. Книга подойдет как для профессиональных, так и для начинающих администраторов, поскольку изложение материала начинается с установки ОС Linux, а в первой главе дано описание основных сетевых технологий и протоколов (Курс Молодого Администратора).
Все приведенные в книге листинги проверены на практике и размещены на прилагаемом CD. Помимо этого на нем содержится много справочной информации (HOWTO, RFC), a также статей, посвященных Linux. Размещен богатый набор вспомогательных утилит и программного обеспечения для сервера (Apache, MySQL, MRTG и др.).
Linux-сервер своими руками - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
В файле squid.conf задаются всевозможные параметры конфигурации прокси-сервера. Давайте рассмотрим их все по порядку.
15.5.1. Параметры сети
Порт для запросов клиентов (см. рис. 15.1):
http_port 3128
Рис. 15.1. Параметры прокси-сервера
Если «соседей» (peer) нет, то установите icp_port 0
icp_port 3130
Порт для общения с соседями — ICP — через TCP. При использовании этого параметра нужно установить ключ --enable-htcp при установке htcp_port 4827.
Следующий параметр указывает, по какому адресу нужно принимать входящие пакеты, если хост имеет несколько интерфейсов. В версии 2.3 этого параметра нет:
tcp_incoming_address 0.0.0.0
При отправлении информации указанный адрес будет использован в качестве исходного:
tcp_outgoing address 0.0.0.0
То же, но для ICP:
udp_outgoing_address 0.0.0.0(аналогично, для ICP)
То же, но для IСР (при приеме):
udp_incoming_address 0.0.0.0
По умолчанию этот режим включен, но если прокси-сервер находится за бастионом (firewall), то параметр passive_ftp нужно выключить:
passive_ftp on|off
15.5.2. Параметры соседей
Описание соседей производится строками следующего формата:
cache_peer hostname type proxy-port icp-port options
где: hostname — имя соседа;
type — тип соседа: parent — старший, sibling — одного уровня;
proxy-port — порт прокси-сервера;
icp-port — порт ICP;
options — параметры.
При этом каждый сосед прописывается отдельной строкой.
Parent — при отсутствии запроса в локальном кэше он перенаправляется к parent; тот, если запроса не окажется в его кэше, пересылает его дальше и т.д. Возвращает готовый ответ подчиненному. Если squid получает TCP_DENIED от parent, то обращение к ресурсу будет идти напрямую.
Sibling — при отсутствии запроса в локальном кэше, запрос перенаправляется в sibling; при отсутствии запроса в нем, возвращает сообщение об этом, никаких дополнительных действий не предпринимается.
15.5.3. Управление кэшем
cache_swap_high число
При достижении этого уровня заполнения кэша (в процентном соотношении) начинается ускоренный процесс удаления старых объектов.
cache_swap_low 90
Процесс удаления прекращается при достижении этого уровня.
maximum_object_size 4096 KB
Максимальный размер кэшируемого объекта.
minimum_object_size 0 KB
Файлы меньшего размера не сохраняются.
15.5.4. Протоколирование
Ниже перечислены режимы протоколирования SQUID с указанием соответствующих журналов. Если какой-то журнал вам не нужен, установите none вместо имени файла.
cache_access_log /usr/local/squid/logs/access.log
Протоколируется каждый запрос к SQUID. Журнал называется /usr/local/squid/logs/access.log.
cache_log /usr/local/squid/logs/cache.log
Протоколируются запуски процессов. Журнал называется /usr/local /squid/logs/cache.log.
cache_store_log /usr/local/squid/logs/store.log
Протоколируются записи объектов в кэш. Журнал называется /usr/local/squid/logs/store.log.
15.5.5. Параметры внешних программ
ftp_user email-адрес
Указанный здесь email будет использоваться вместо пароля при анонимном доступе к ftp-серверам.
dns_nameservers список IP-адресов
Значение данного параметра используется вместо того списка DNS-серверов, который определен в файле /etc/resolv.conf; по умолчанию — none.
cache_dns_program /usr/local/squid/bin/dnsserver
Данный параметр задает программу разрешения IP-адресов в имена (сервер DNS).
authenticate_program none
Позволяет производить аутентификацию клиентов, делающих запросы. При этом должен быть определен ACL proxy_auth.
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/ squid/etc/passwd
Традиционная программа аутентификации. Определена в ../auth_modules/NCSA.
15.5.6. Списки ACL
ACL (Access Control Lists) — списки контроля доступа. Довольно часто возникает потребность группировки однотипных параметров в единое целое для их последующей обработки. Для эффективного решения этой задачи используются списки контроля доступом (ACL). Например:
acl SSL_ports port 4-43 563
Эта запись означает, что создается список SSL_ports типа port. Элементами списка являются номера портов 443 и 563.
Добавить новый элемент к уже существующему списку (параметр add) можно так:
acl add SSL_ports port 999
Удалить ненужный элемент можно с помощью параметра del: acl del SSL_ports 999
Переименовать список позволяет параметр ren (от rename):
acl ren SSL_ports Allowed_ports
Удалить все списки вместе с их содержимым позволяет параметр flush:
acl flush
Стандарт ACL требует, чтобы перед именем списка обязательно был указан символ $. Другими словами, все перечисленные выше примеры по большому счету должны быть неправильными. Например, для создания списка нужно использовать запись:
acl $SSL_ports port 443 563
Однако большинство фильтров, например SQUID, пренебрегают этим требованием, и вы можете указывать имена списков без знака доллара.
Итак, ACL — это определение списка доступа. Имеет следующий формат:
acl имя тип строка
где: тип — это тип объекта;
строка — регулярное выражение.
Можно использовать список:
acl имя тип имя_файла
Перечисление параметров производится по одному параметру в строке. Типы, которые можно использовать при составлении списков ACL, указаны в табл. 15.3.
Типы ACL Таблица 15.3
| Тип | Описание типа |
|---|---|
| Src ip-address/netmask | Задает IP-адрес клиентов |
| Src addr1-addr2/netmask | Указывает диапазон адресов |
| Dst ip-address/netmask | Задает URL хостов |
| Time [day-abbrevs] [h1:m1-h2:m2] | Время, где день — это одна буква из SMTWHFA |
| Port | Список портов |
| Port port1–port2 | Диапазон портов |
| Proto | Протокол — HTTP или FTP |
| Method | Метод — GET или POST |
| Browser [-i] regexp | Сравнивается заголовок User-Agent |
[-i] — игнорируется регистр букв.
15.5.7. Параметры доступа
http_access allow|deny aclname
Разрешать доступ к прокси по HTTP.
icp_access allow | deny aclname
Разрешать доступ к прокси по ICP.
miss_access allow | deny aclname
Разрешить получать ответ MISS от вас.
cache_peer_access cache-host allow|deny aclname
Ограничить запросы к данному соседу — расширение для cache_peer_domain.
proxy_auth_realm Squid proxy-caching web server
Строка текста, которая будет выдана на экран клиента при запросе имени/пароля доступа к кэшу.
15.5.8. Параметры администрирования
cache_mgr email
Данный параметр задает почтовый адрес, на который будет послано письмо, если squid перестанет функционировать.
cache_effective_user nobody
При запуске SQUID от имени root изменить UID на указанный в параметре cache_effective_user.
cache_effective_group nogroup
При запуске SQUID от имени root изменить GID на указанный в параметре cache_effective_group.
visible_hostname имя_хоста
Это имя будет упоминаться в сообщениях об ошибках.
hostname_aliases имя
Этот параметр задает список синонимов для имени хоста.
15.6. Отказ от рекламы. Баннерный фильтр
Интервал:
Закладка:
