Автор Тема: Пошаговые инструкции: Собираем свой первый сервер ALT 5.0.  (Прочитано 78277 раз)

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
Шаг № 4 : SQUID  и безопасность

Вопросы безопасности наиболее обсуждаемые. Каждый имеет свою точку зрения о безопасности. Все правы и все не правы. Как не охраняй и президентов убивают. В качестве рядового мнения изложу свою:

SQUID наиболее удачный способ раздавать инет в локальную сеть, тем более если там Win машины. То, что на них не прописан шлюз и DNS, оберегает от многих неприятностей. Банк-клиенты, Пенсионные фонды и т.п. работают через прокси. На 99 процентов лучше так и оставить.
При современных  толстых каналах в squid малоинтересны настройки всяких там кешев. Экономия трафика сомнительная. Скорость получения доступа к сайтам зачастую выше напрямую, чем скачать со своего жесткого диска.

Интересно, что мы можем управлять доступом, банить, проверять  и полностью контролировать сам трафик. В любом случае это безопаснее для наших локальных машин.

Есть проблемы и для сервера. Опасно размещать squid и на самом сервере. Если там же стоит Apache, да еще с PHP, то набрав c клиента адрес localhost или 127.0.0.1 мы даем доступ на сам сервер. PHP еще неизвестно как себя поведет. Там обнаруживают  дыры.

Понятно, что выделять отдельный системный блок для squid нам никто не даст.

Вот тут мы подходим к самому главному. И не только в SQUID.

Виртуализация.

Мы остановили свой выбор на ALT Linux 5.0.0 Desktop KDE. Там все уже решено и работает. Имеется удобный графический интерфейс.
Выделяем небольшое место на виртуальном диске, ставим проверенный ALT Linux 4.0 Server, который занимает минимум места. Достаем "Пошаговые инструкции для ALT Linux 4.0 Server" и ставим голый squid. Пусть атакуют localhost.

Более того в нашей локальной сети могут оказаться несколько прокси. Прозрачный, с аутентификацией, прямого доступа. Squid даже можно развернуть в обратную сторону, чтобы он обслуживал наш же Apache, но тут уже лучше использовать Nginx.

В виртуальной машине есть импорт и экспорт. Делаем резервную копию, которую легко восстановим на любом другом железе с ALT Linux 5.0.0 Desktop KDE и даже на чистом Альт Линукс 5.0 Ковчег Сервер. Можем обмениваться готовыми серверами между собой. Скачивайте у меня готовый корпоративный сервер на Joomla, меняйте пароли  и запускайте у себя.

Принцип простой. Даже если у вас всего один сервис (squid, FTP, либо Apache), он должен быть виртуальным.

ALT Linux 5.0.0 Desktop KDE мы будем использовать как удобную корзину, на которой ничего не установлено, куда будем складывать готовые продукты и готовить по своим рецептам. Корзину подключаем к разным провайдерам и локальным сетям. Прописываем маршруты к виртуальным серверам и маршруты по источнику. Каждый сервер защищаем и резервируем отдельно. Общий закрываем от атак и следим за трафиком.

А это уже следующие инструкции.
« Последнее редактирование: 28.01.2010 11:02:54 от Salomatin »
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

greyzy

  • Гость
Фишка как раз бы была разобраться с преднастроенным коробочным альтсервером 5.0, с тем самым ldap, с готовыми файлами зоны и т.п.
Давайте вместе сядем, разберемся и напишем. За нас это никто не сделает.

Тема сквида так до конца и не раскрыта (со времен инструкций для 4,1) - как считать трафик, и устаивать лимиты (неужели у всех безлимитка?) И что делать с этими в рукопашную прописываемыми адресом прокси и номером порта - в браузере прописал, так это и в аське надо указать, и в скайпе... И не на одном компе. А еще есть такая штука как торрент
Думаю, что можно сказать, что безлимитка уже у все. В рукопашную  не так уж плохо. Попытаюсь ответить в Пошаговых инструкциях.

Извините, а вы то для какой сети сервер поднимаете? У вас клиенты с какой ос на борту?
Для локальных и сервер, который виден снаружи. Клиенты любые.
 
1. Вот мы и разбираемся, в частности с ldap, система продвинутая, много чего на ней завязано, и ковыряя альтсервер 5 действительно иногда хочется взять десктоп и все по очереди туда постепенно поставить
2. А я вот не с центральной россии , где как я слышал 8мт/450 рублей эт обычное дело, а у нас ток недавно стали подключать на скорости 2 мегабита, а во вторых безлимит для работы иногда вреден, так что вопрос лимитированного доступа стоит, а в рукопашную перебивать 50-70 компов это очень даже плохо.
3. И этот сервер надо будет регистрировать? (в смысле доменное имя)

MisHel64

  • Гость
Уважаемые организаторы АLT-Linux форума и его пользователи, предлагаю вашему вниманию Пошаговые инструкции "Собираем свой первый сервер ALT 5.0"
Рекомендую начинать собирать свой первый сервер с ALT Linux 5.0.0 Desktop KDE. 
Я может чего не понимаю, но тут есть только Альт Линукс 5.0 Ковчег Рабочая Станция (GNOME) и Альт Линукс 5.0 Ковчег Сервер
А новичкам я настоятельно рекомендую ПОКУПАТЬ свои первые дистрибутивы, что бы получить печатные книжки.

greyzy

  • Гость
Я может чего не понимаю, но тут есть только Альт Линукс 5.0 Ковчег Рабочая Станция (GNOME) и Альт Линукс 5.0 Ковчег Сервер
А новичкам я настоятельно рекомендую ПОКУПАТЬ свои первые дистрибутивы, что бы получить печатные книжки.
ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/iso/desktop/ altlinux-5.0.0-kdesktop-i586-ru-install-dvd5.iso, altlinux-5.0.0-kdesktop-x86_64-ru-install-dvd5.iso
И чего, много в книжках, идущих с дистрибутивами такой инфы:
Задача: Собрать сервер для небольшой фирмы, который имеет выходы в интернет, защищает локальную сеть фирмы, раздает инет и почту. На сервере размещены видимые снаружи корпоративный сайт, форум, интернет-магазин, реклама продуктов. Также это место хранения данных, сервер печати и т.п.
В упрощенном виде сервер может быть полезен и дома.
?
Документация на альт сервер отсюда http://docs.altlinux.org/archive/p5/office-server/ только и делает, что отправляет к справке ЦУП, видел я эту справку... :)

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Цитировать
Документация на альт сервер отсюда http://docs.altlinux.org/archive/p5/office-server/ только и делает, что отправляет к справке ЦУП, видел я эту справку...
Я всегда читаю man и доки с офсайта конкретного ПО. Нужно освоить postfix - иду на офсайт и читаю. Нужно просветиться по Exim - иду и читаю ... Нужно настроить iptables - инфы навалом! Какие проблемы? Не забывайте что каждая инструкция написанная одним автором - это только его ИМХО.

MisHel64

  • Гость
Я всегда читаю man и доки с офсайта конкретного ПО. Нужно освоить postfix - иду на офсайт и читаю. Нужно просветиться по Exim - иду и читаю ... Нужно настроить iptables - инфы навалом! Какие проблемы? Не забывайте что каждая инструкция написанная одним автором - это только его ИМХО.
В том то и дело, что у новичков бывают ситуации, что, что хотят, знают, но внятно словами описать не могут и уж тем более не знают название пакета, на который читать документацию. Сам помню убил, кучу времени, пока мне сказали волшебное слово "NAT". Правда тогда и форумов не было.....
А проблема была пустяковая. На WWW зайти могу, а почту батом получить нет.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
И чего, много в книжках, идущих с дистрибутивами такой инфы:
Задача: Собрать сервер для небольшой фирмы, который имеет выходы в интернет, защищает локальную сеть фирмы, раздает инет и почту. На сервере размещены видимые снаружи корпоративный сайт, форум, интернет-магазин, реклама продуктов. Также это место хранения данных, сервер печати и т.п.
В упрощенном виде сервер может быть полезен и дома.
?
А хоть в одной книжке по любому продукту Вы ответ на это встречали? ;)
Андрей Черепанов (cas@)

Оффлайн Salomatin

  • Модератор раздела
  • ****
  • Сообщений: 981
    • Пошаговые инструкции
    • Email
А хоть в одной книжке по любому продукту Вы ответ на это встречали? ;)

А почему не встречается?
Я тоже раньше везде лез и задавал такой вопрос. Почему?
Мне продвинутые гуру тыкали: "Нипиши сам".
Когда начинался форум тут тоже звучали такие вопросы, примерно с такими же ответами.
Почитав книжки, гугл и попробовав замечательный продукт ALT прихожу к мысли, что не так уж сложно написать.
Или глобально заблуждаюсь?
Сижу вот пишу для себя потихоньку, по ним сам работаю и людям даю почитать.
Или так поступать не правильно?


Да, Skull ,спасибо, я ваше замечание по поводу поломать связку учел, сейчас прорабатываю для себя решение с учетом этого.
Хочешь понять сам, объясни другому.
"Если уже все испробовал и ничего не помогает - почитай инструкцию"

Оффлайн black_13

  • Завсегдатай
  • *
  • Сообщений: 657
  • Gentoo + Debian + ALT
    • diff.org.ua
    • Email
Цитировать
А почему не встречается?
Я тоже раньше везде лез и задавал такой вопрос. Почему?
Мне продвинутые гуру тыкали: "Нипиши сам".
Потому что сервер - это не просто одна программа, а целая система хитро связанных друг с другом программ. Описать одну программу проблем не составляет - а вто сервер - это уже нечто гораздо большее ... я бы даже сказал личное. По аналогии авто к примеру: описать каждую детальку проблем не составит, а попробуйте ка описать сборку и наладку автомобиля! Вот и получается что авто есть целая куча марок - каждый собирает так как это видит он, и только свой вариант считает приемлемым. Попробуйте доказать производителям BMW что Volvo лучше  :D Посмотрю я на вас ....
ИМХО: Собрать/установить OS/настроить сервер - это нечто большее нежели CTRL+C & CTRL+V с какойто книги  ;)

Оффлайн Arc

  • Завсегдатай
  • *
  • Сообщений: 608
Не знаю что мне делать в малом офисе с таким богатством как  "связка squid — пользователи LDAP", 
Из лдпа и самбы в маленьком офисе получается весьма симпатичный домен для winXP.
А уже имея всех пользователей в лдапе, грех не использовать это в squid.

ЗыЖ Морда для сквида в альтераторе весьма далека от идеала.
-------
powered by www.uneex.ru and Поиск!

greyzy

  • Гость
Я всегда читаю man и доки с офсайта конкретного ПО. Нужно освоить postfix - иду на офсайт и читаю. Нужно просветиться по Exim - иду и читаю ... Нужно настроить iptables - инфы навалом! Какие проблемы? Не забывайте что каждая инструкция написанная одним автором - это только его ИМХО.
Я рад за вас :) , я в последнее время тоже так делаю. Я просто намекнул, что связи между покупкой дистрибутива и тем, что с ним будет толковая документация - нет тут связи.

А хоть в одной книжке по любому продукту Вы ответ на это встречали? ;)
Такие книжки делают не авторы продуктов. Поэтому и пишутся инструкции пользователей этими продуктами. Хотя это конечно попытки, так как вопрос очень широкий. Есть одна книга, в которой все как военный устав: В.В. Бруй, С.В. Карлов - Linux сервер. Пошаговые инструкции. Инсталяции и настройки. Жаль 2003 год.

Потому что сервер - это не просто одна программа, а целая система хитро связанных друг с другом программ. Описать одну программу проблем не составляет - а вто сервер - это уже нечто гораздо большее ... я бы даже сказал личное. По аналогии авто к примеру: описать каждую детальку проблем не составит, а попробуйте ка описать сборку и наладку автомобиля! Вот и получается что авто есть целая куча марок - каждый собирает так как это видит он, и только свой вариант считает приемлемым. Попробуйте доказать производителям BMW что Volvo лучше  :D Посмотрю я на вас ....
ИМХО: Собрать/установить OS/настроить сервер - это нечто большее нежели CTRL+C & CTRL+V с какойто книги  ;)
Да, но! По сборке авто книг не продают, а вот по устройству конкретного авто, чо каждый узел значит и как его лечить, очень даже продают. Поэтому и со специально собранным дистрибутивом по идее можно делать книгу: вот такой то дистрибутив, мы его собрали по такому то принципу, рассмотрим базовые ПРЕДнастройки , для чего они нужны, и базовые задачи которые можно выполнять (не абстрактно, а детально, с примерами). Уважаемый ruslandh постоянно пишет, что альт сервер 5 предназначен для сети, где все клиенты на линукс 5. Ну и включите в такую книжку описание, как это сделать, как им инет раздать, как dns функциклирует и тп. Понятно, что по одной самбе мануал 1000 страниц. Но хотя бы что-то базовое. Пусть и на 1000 страниц.
А так как такой книги с дистрибом не идет, то и рождаются инструкции "а давайте сделаем свой сервер альт линукс 5... но только на базе альтлинукс десктоп 5". Здорово. Есть готовый сервак, то только ничо в нем не понятно. Поэтому проще так, самому собрать :)

greyzy

  • Гость
Или глобально заблуждаюсь?
Сижу вот пишу для себя потихоньку, по ним сам работаю и людям даю почитать.
Или так поступать не правильно?
Все правильно

Оффлайн Николай_Александрович

  • Завсегдатай
  • *
  • Сообщений: 97

Думаю, что можно сказать, что безлимитка уже у все.


Э-ээ, нет.
Так не пойдёт.
В конторах (а тут же инструкции по серверу для конторы ?), инет:

1. Лимитный намного чаще, чем безлимитный.

2. В разы дороже, чем для физических лиц (1.7 р/МБ к примеру, 40 км от МКАД)

3. Жёстко контролируется руководством (в смысле, расход трафика, с требованием от админа подробнейшей детализации. Кто где был, и сколько просидел ВКонтакте, вместо работы с клиентами)

Посему, подсчёт трафика, общего лимита, и поюзерного расхода - важнейшая деталь корпоративного сервера. Шлюз с НАТом поднять - дык это любой роутер может, железный или програмный. И Альт-сервер не нужен.

А вот подсчитать траффик, заблочить юзера или целиком контору, если перекушали инета в текущем месяце - вот что позарез конторам надо. А не ЛДАП со Сквидом (имхо).

Хотелось бы увидеть, на фоне других превосходных (я не шучу) how-to автора темы, что-либо для решения этого вопроса (подсчёт трафика, блокировки по трафику и т.п.).

С уважением.

greyzy

  • Гость
Николай_Александрович, вы прям выразили то, чего я не мог выразить +1 :)

MisHel64

  • Гость
Почитав книжки, гугл и попробовав замечательный продукт ALT прихожу к мысли, что не так уж сложно написать.
Или глобально заблуждаюсь?
Ты очень глубоко заблуждаешься.
И причин, тут много. Вот твои "пошаговые инструкции". С одной стороны, это плюс, человек тупо нажимает указанные тобой кнопки, и экономит кучу времени. Это конечно плюс.
А с другой стороны, то-же 5й сервер будет поддерживаться производителем еще 10 месяцев. И все. Больше инструкции никому не будут нужны. Новички уже по нажимали кнопки, и стали старичками. А новые новички будут брать и новый сервер. А там уже придется нажимать другие кнопки.
Теперь представь, что ты все-таки успел написать и издать книгу, с ответами на все вопросы указанные выше. Ну по размеру, этот труд превзойдет наверно труды Ленина, Сталина, и Жуль Верна вместе взятых. Стоимость такой продукции, с учетом мизерного тиража будет чуть меньше чем каменный мост через тихий океан. Во первых кто ее купит за такие бабки, а во вторых эта книга устареет быстрее, чем ты ее напечатаешь. И это только одна из причин.

А кроме книги, гугля, мана, нужно еще иметь опыт и думалку. Вот простой пример. Защита от Syn Flood атаки. Большинство советов в инете сводится приблизительно к следующему.
/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
/sbin/iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
/sbin/iptables -A syn-flood -j DROP
И типа все в шоколаде. Осталось только придумать, куда засунуть этот код.
А вот имея опыт и думалку, я точно знаю, что на ALS 4.0.1 это работать не будет по двум причинам.