Troubleshooting的小总结,斑主帮忙看看呀!快考试了!

jackson

根据Study Points for the RHCE Exam的一名话总结(有错或不足请提出,我会随时修改)
For each of these services ,RHCEs must be able to:
* Configure host-based and user-based security for the service
network service :
  HTTP/HTTPS,SMB,NFS,FTP,WEB proxy,SMTP,IMAP,IMAPS,POP3,SSH,DNS

一、HTTP
   1、基于用户控制：（local users控制）可做一用户的认证：.htaccess
      2、基于主机控制：/etc/httpd/conf/httpd.conf中在Directory中用
          allow from
          deny from
二、SMB
     1、基于用户控制：smbpasswd -a user
        在smb.conf中,存取控制a.user list =   b.write list =   c.valid users =
        可以写1、多个帐号：abc,root,jason
                            2、组: @legal  3、帐号 与组  : @ legal ,abc
      2、基于主机控制：/etc/samba/smb.conf中可以用
        allow hosts =
        deny hosts =
       
　　192.168.0.0/255.255.255.0 ；
　　abc，test，working ；表示允许此三部主机登入 Samba。
　　@mygroup ；表示允许mygroup群组内的成员登入Samba。

三、NFS
    1、基于用户控制：（无）
  2、基于主机控制：a. /etc/exports      主机、域名、IP
                   b.hosts.allow, hosts.deny    portmap
四、FTP
  1、基于用户控制：a. /etc/vsftpd.ftpusers   添加拒绝用户
                   b. /etc/vsftpd/vsftpd.conf 中，有三个参数：
          userlist_deny(默认YES）,userlist_enable(默认no),
          userlist_file : The default value is   /etc/vsftpd.user_list
                      c./etc/pam.d/vsftpd  使用pam_access.so
                        /etc/security/access.conf
  2、基于主机控制：
          a. hosts.allow,hosts.deny  中 vsftpd:ALL (用man hosts.allow)
            
五、Web proxy(squid)
    1、无用户级别控制
  2、基于主机控制：a./etc/squid/squid.conf中
                acl example    options
                http_access  deny/allow  example
                #内网控制： src :   源地址（ client IP ）
                                srcdomain: 源域名（client 域名）
                #外网控制：dst: 目的地址（被访问Server IP)
                               dstdomain:  目的域名（被访问Server 域名）
               
六、SMTP （sendmail,postfix)
    1、基于用户控制：a. /etc/pam.d/smtp.sendmail  中用pam_access.so
                        /etc/security/access.conf
                  
  2、基于主机的控制：a. /hosts.allow,/hosts.deny   中用sendmail:
                b.选择性转发中的:/etc/mail/access
                       (可以是域名，IP，用户）
                        make access.db
                    makemap hash access.db>access
                  这两个命令应该用哪个呢?
七、IMAP，IMAPS ，POP3，POP3S
    1、基于用户控制：在/etc/pam.d/有imap,pop   用pam_access.so
                        /etc/security/access.conf
    2、基于主机控制：a./etc/hosts.allow,hosts.deny
                可以写的后台进程：imapd, ipop2d,ipop3d,pop3d
                    b.可以写在/etc/xinetd.d/中的有
                imap, imaps,ipop2,ipop3,pop3s 另外还有telnet,tftp
                /usr/share/doc/xinetd*/sample.conf可参考
八、SSH
    1、基于用户控制 ：a. /etc/ssh/sshd_config 中
                  allowusers, allowgroups,denyusers,denygroups
                例子： denyusers   user1  user2  user3 用空格分隔
                b./etc/pam.d/sshd   添加：pam_access.so
                          /etc/security/access.conf
    2、基于主机控制：/etc/hosts.allow, hosts.deny  中写入sshd
九、DNS
    想不出怎样做基于主机的控制

jackson

既然"suddenly5171" 兄,已经写了服务的部分,我就不再发了,
希望"suddenly5171" 兄尽快补全剩下的部分,我不打算复习
IPTABLES/netfilter部分,写出来我也看看!
我只补充:HTTPS,IMAPS ,POP3S的完成过程,
HTTP+SSL   自创CA(这个我没做成功,步骤是管理员手册上的,最后我访问
的时候提示:" 到Server.example.com的连接已经意外终止,可能已经传送
部分数据."有做出的兄弟,看看是不是有做错的地方,或补充一下)

其实已经做出来了,要注意的是不能基于虚拟主机的
        1.安装包: httpd,mod_ssl,openssl,(必须),httpd-devel,
           httpd-manul,Openssh,openssl-level,stunnel
        2.先删除假钥匙和证书:cd    /etc/httpd/conf
                rm   ssl.key/server.key
                rm   ssl.crt/server.crt
        3.生成钥匙:cd   /usr/share/ssl/certs
                make  genkey
          输入口令如果此时输入口令,创建证书时也需输入这儿口令)
           证书位置:/etc/httpd/conf/ssl.key/server.key
        创建无口令钥匙用如下的命令:
     /usr/sbin/openssl  genrsa  1024 > /etc/httpd/conf/ssl.key/server.key
     chmod   go+rwx     /etc/httpd/conf/ssl.key/server.key
        4.创建自签证书:  cd     /usr/share/ssl/certs
                make  testcert
           输入口令如果创建钥匙有口令,也需输入这儿口令)
          输入更多的相关信息.
            证书位置:/etc/httpd/conf/ssl.crt/server.crt
        5.service  httpd restart (如果创建钥匙时有口令,此时需输入)
POP3S,IMAPS
           a.创建钥匙: cd    /usr/share/ssl/certs
                        make genkey
           b.创建证书: cd  /usr/share/ssl/certs
                        make  testcert
没仔细看文档, a, b 不用做的,对不起拉
           c.先删除/usr/share/ssl/certs/    ipop3d.pem  imapd.pen
                  pop3s:    make ipop3d.pem
                        回答所有问题
                  imaps :  make imapd.pem
           d.        chkconfig  pop3s on
                chkconfig imaps on

sihexuan

DNS基于主机的控制可以配合iptables,

aries1998

Post by sihexuan
DNS基于主机的控制可以配合iptables,

iptables控制有时候并不是很方便，或者说有些功能无法实现，比如区分直接查询和递归查询，其实bind自身也有健全的acl控制
比如下面的一段

1. 
   
2. acl trusted_pc {
   
3. 192.168.1.3;
   
4. 10.1.1.0/24;
   
5. };
   
6. 
   
7. acl deny_pc {
   
8.   192.168.1.12;
   
9. };
   
10. 
    
11. options {
    
12. blackhole { deny_pc;};
    
13. allow-query { trusted_pc ;};
    
14. allow-recursion { trusted_pc;};
    
15. };
    

复制代码

具体可以man named.conf看看！

suddenly5171

jackson 兄和我犯了一样的错误
makemap hash access.db>access   是错误的

应该是下面的命令
makemap hash access.db<access
或
makemap hash access <access    .db可以省略

jackson

make access.db是我从网上搜到的一个文档中写的,我还没有验证,
其它文档一般都用:makemap hash access.db<access
嘿嘿,我也没验证,

今天下了sendmail-doc-8.12.11.i386.rpm里面文档用的是:
    makemap hash /etc/mail/access < /etc/mail/access
access  example.:

cyberspammer.com        ERROR:"550 We don't accept mail from spammers"
okay.cyberspammer.com   OK
sendmail.org            RELAY
128.32                  RELAY
spammer@aol.com         REJECT

suddenly5171

最后的部分

8.PAM
配置：/etc/pam.d/
这个主要考pam_access这个模块
pam_access 配置文件：/etc/secrity/access.conf
+:ALL :hostname      +表示拒绝  -表示允许
USER :.domain.com
group :192.168.0.4
      :192.168.0.
然后再相关的服务pam配置文件里(最后一个auth认证下)添加:
account  required pam_access.so

9.iptables/Netfilter
对与这个部分，我觉得没什么好写的，NAT不可能考，一般的访问控制在tcp_wrapper和
服务本身也可以做到
iptables里有3个tables：NAT
                      filter
                      mangle
tables里有3个默认的基本的chains:input
                               forward
                               output

-A chains在chains中添加一条规则
-D chains在chains中删除一条规则
-L chains列出chains中的规则
-F chains清空chains中的规则
-P chains 在tables中添加一条chains
-X      删除一条chains

match:-p 指定协议 tcp,udp,icmp
     -s  指定源地址
     -d  指定目标地址
     --sport  指定源端口
     --dport  指定目标端口
     --icmp-type  指定icmp包的类型

动作:-j ACCEPT 通过
      DROP    丢弃
      REJECT  拒绝,同时给发送者发送通知
      LOG     记录日志
      TOS      改写包的TOS值
其实iptables内容丰富,功能强大,但是考试的话这些够了

10. Dns
   配置文件:/etc/named
在/etc/named里添加
zone “example.com” IN {
     type master;
     file “example.com.zone”;
};
//以上是正向解析
//以下是反响解析
zone “0.168.192.in-addr.arpa” IN {
     type master;
     file “0.168.192.zone” ;
};

对于zone文件大家可以参考/var/named/named.local
--------------------------------------------------------------