Колисниченко Д.Н. - Linux-сервер своими руками (1077324), страница 54
Текст из файла (страница 54)
При этом программе htsearchпередаются некоторые параметры: параметр поиска, конфигурация программы (config), метод поиска (method) и вид критерия (sort). При работе с этойпрограммой можно использовать методы передачи данных GET и POST.Для создания базы данных предназначен сценарий rundig.8.8. Прокси-сервер SocksS8.8.1. Установка и настройка сервераСервер SocksS — это универсальный прокси-сервер. Сервер SocksS требует поддержки протокола socks5 со стороны программного обеспеченияклиента.
При этом могут применяться специальные программные пакеты,позволяющие использовать стандартное программное обеспечение. Под специальным программным обеспечением подразумевается программа runsocks,входящая в состав сервера socksS или аналогичные ей программы.В большинстве случаев прокси-сервер SocksS нужно использовать длятого, чтобы обеспечить работу Socks-клиентов (обычно в этой роли выступает программа ICQ) через бастион.
Довольно часто встречающаяся ситуа$20Конфигурирование серверация: программу ICQ запускает пользователь локальной сети, у которогонет реального Интернет-адреса и он подключается к Интернет через firewall.Для решения этой проблемы можно воспользоваться двумя методами: илииспользовать IP-маскарадинг, или же установить SocksS-сервер на шлюзе.Первый способ описан в гл. 14, а настройка второго рассматривается вэтой главе.
Существует также еще один метод, который заключается виспользовании прокси-сервера SQUID. Для этого нужно добавить в списокразрешенных портов порт 5190. Этот порт используется современнымиICQ-клиентами:acl SSL_ports port 5190Однако, по сравнению со SQUID, прокси-сервер SocksS представляетсобой наиболее гибкое решение. Да и зачем устанавливать на шлюзе полнофункциональный прокси-сервер, если нужно только обеспечить работу ICQдля пользователей внутренней сети?Нужно отметить, что оба прокси-сервера (SocksS и SQUID) могут бытьустановлены на одном сервере и одновременно функционировать, не мешаядруг другу.Клиентами сервера socksS являются популярные клиенты ICQ и licq,клиентская версия оболочки ssh, а также другие программы. Подробную информацию о сервере socksS вы можете найти по адресу:http://www.socks.nec.com.
Некоторые вопросы по настройке socksS довольнохорошо рассмотрены в справочной системе. Прочитать стандартную документацию вы можете, введя команды:man socksS.confman libsocksS.confВ этой главе будет рассмотрена только базовая настройка сервера socksS.Сначала нужно загрузить последнюю версию прокси-сервера(http://www.socks.nec.com/cgi-bin/download.pl) — на данный момент это vl.Orelease 11.
То есть вам нужно выкачать файл socks5-vl. O r l l . Желательнотакже скачать socksStools - - в нем находится сценарий для обработкипротоколов сервера. После распаковки выполните привычную последовательность команд:./configuremakemake installПри корректной сборке в каталоге /etc будет создан файл socksS. conf,в котором и содержатся все настройки сервера.В большинстве случаев параметры по умолчанию являются вполне приемлемыми. Сейчас рассмотрим пример конфигурационного файла (см. листинг 8.13), а потом разберемся, что все это означает.Листинг 8.13.
Файл/etc/socks5.confset SOCKS5_NOREVERSEMAPset SOCKS5JSIOSERVICENAMEset SOCKS5_NOIDENT221Конфигурирование сервераset SOCKS5_MAXCHILD 128set SOCKS5_TIMEOUT 10auth — - upermit u interface 192.168.0. -.ethOВ первой строке мы отменяем обратный резолвинг адресов, благодарячему сервер будет работать заметно быстрее. Вторая строка означает, что мыбудем протоколировать номера портов вместо имен сервисов. Теоретическиэто тоже должно повысить эффективность работы сервера. ПараметрSOCKS5_NOIDENT запрещает рассылку клиентам ident-запросов. Четвертаястрока устанавливает максимально допустимое число потомков сервера — нежадничайте.
Пятая строка, как вы уже успели догадаться, устанавливаеттайм-аут (10 секунд).Практически вся настройка сервера выполняется с помощью манипулирования командами auth и permit. Первая устанавливает тип аутентификации, а вторая — разрешает доступ определенным хостам/пользователям.Полный формат команды auth такой:auth исходный_хост исходный_порт метод_аутентификацииВ данном случае мы будем запрашивать пароль со всех пользователей(точнее, клиентов).Формат команды permit:permit аутентификация команда исх_хост хост_назнач исх_портпорт_назнач [список_польз]В примере я разрешаю доступ всем и отовсюду с использованием аутентификации.
Если вас интересует более расширенный пример использованиякоманды permit, который демонстрирует всю гибкость этого прокси-сервера,обратите внимание на этот:permit u cpubt 192.168. -• - [100,1000] userВ данном случае мы разрешаем доступ пользователю user (с использованием пароля, конечно). Пользователь user имеет право использовать Connect,Ping, Udp, Bind и Traceroute (cpubt) с адресов 192.168.*.*. Диапазон входящих(первый «-») и входящих (второй «-») портов — 100.. 1000.Директива interface (листинг 8.13) разрешает все соединения от компьютеров с адресами 192.168.0.* (наша внутренняя сеть) ко всем портам интерфейса ethO.
Кроме команды permit существует противоположная ей командаdeny с аналогичными параметрами.Создайте файл /etc/socks5 .passwd — в нем содержатся имена пользователей и их пароли. Например:petrov 123456ivanov paswdЗа этим все! Вы уже настроили ваш сервер.
Осталось его запустить:# / u s r / l o c a l / b i n / s o c k s 5 -f -sПри этом демон должен перейти в фоновый режим и выводить диагностические сообщения на стандартный вывод (в нашем случае это экран).222Конфигурирование сервераЕсли сервер сконфигурирован правильно, вы должны увидеть примерноследующее:11410: SocksS starting at Mon Mar 4 19:13:55 2002 in normal modeПосле удачного запуска остановите сервер и добавьте его в скриптыавтозагрузки системы:# k i l l a l l socksS8.8.2.
Альтернативные серверы SocksSВ качестве альтернативы серверу socksS вы можете использовать проксисервер dante-socks, который доступен по адресу http://www.inet.no/dante/. Данный сервер использует файл конфигурации sockd.conf (см. листинг 8.14).Листинг 8.14. Файл /etc/sockd.confinternal: 1 9 2 .
1 6 8 . 0 . 1 port = 1080e x t e r n a l : 111.111.111.111client pass {f r o m : 1 9 2 . 1 6 8 . 0 . 0 / 1 6 to: 0 . 0 . 0 . 0 / 0}pass(from: 0.0.0.0/0 to : . 192 . 168 . 0 . 0/16command: bindreply udpreplylog: connect errorПараметр internal определяет ваш внутренний интерфейс (точнее, внутренний IP-адрес), a external — ваш настоящий IP (111.111.111.111.111). В блокеclient pass указываются возможные клиенты вашего сервера (сеть 192.168.0.0), ав блоке pass указываются имена узлов, которые могут «общаться» с вашимиклиентами.
В приведенном примере разрешается отвечатьклиентам со всех узлов (0.0.0.0). Протоколироваться будуттолько ошибки соединения.8.8.3. Настройка клиента SocksS (licq)Настройку клиентов будем рассматривать на примере двух, наверное самых популярных, Socks-клиентов.Сначала рассмотрим настройку программы ICQ дляWindows, а потом licq — ICQ-клиент для Linux.Запустите программу ICQ и нажмите на кнопку«ICQ», которая находится ниже кнопки «Services»(рис. 8.12). Затем из появившегося меню выберите команду Preferences и перейдите в раздел Connections навкладку Server.
Включите режим использования прокси-сервера и установите тип прокси-сервера — SocksS(см. рис. 8.13).Рис. 8.12. Программа icq223Конфигурирование сервераЩ Owner Preferences For: dhsilabsU Contact ListЯШЕ!(Щ) Connections^J Miscellaneous.•General^5 Status ModeО Т etephony/Data/GamesglggServer^"Events(^ Shortcut Bar1 Port:^ Security & PrivacyFirewallUseriFieset:•• ^i Г Not using Firewall1 ff Using Firewall[)<3GteetingC»d "'..:j™ -• — - •——-—•;;~ ;:.--;-~;-; i:AutoConfieutii;: '•••, \ :[5190Proxy Settings —:</ ICSJEmaJ Import* :::ggphoneBookj; > ': г- Setvei! ~— • — — —__ -;' -| , rlCOServa•i i Host |login.icq.comi- Not using proxy*~-r-:|-—Г Ргсир - - > • - - • , ]|Socks5i ,-:-- •; ;:—•j|»| 'g^ Email PreferencesQ5j Picture:f3 Invite Old Friends ;V ;; Г" Keep connection aliveglCQphoneД SMS MessagesAdd[ juii£jt"IJj Web Information |Restore ICQ Defaults |Cancel ||Apply| |jiРис.
S. 13. Свойства соединения icqПотом перейдите на вкладку Firewall и установите параметры прокси-сервера:имя, порт, тип (socksS), имя пользователя и пароль (см. рис. 8.14). Нажмите накнопку «Apply» и на этом настройка клиента ICQ для Windows завершена.С программой licq будет немножко сложнее. Во-первых, нужно установить программу runsocks, которая входит в состав прокси-сервера (эту программу можно также найти в Интернет отдельно), на компьютере пользователя и перекомпилировать licq, включив поддержку socksS.
Для этого перейдите в каталог, содержащий исходные тексты licq и запустите скрипт configureс параметром —enable-socksS:. / c o n f i g u r e —enable-socksSШ |5-Рдо:|1^1||Ш1г,йопi:lisSif*M!:;jdhsilabs&Рис. S. 14. Параметры прокси-сервера224Конфигурирование сервераПосле этого выполните привычные команды:make; make i n s t a l lТеперь нужно создать файл /etc/libsocks5. conf и добавить в него строку:socksS - - 192 . 1 6 8 . 0 .
l : p o r t192.168.0.1 — это адрес вашего socksS-сервера, port — порт, необходимыйклиенту (обычно 1080).8.9. Система обнаружения и защиты от вторжения8.9.1. Что такое LIDS?LIDS (Linux Intrusion Detection System) — система обнаружения вторжения. Данная система представляет собой патч к ядру, который позволяетобнаружить и защитить вашу систему от вторжения.Система LIDS была создана китайским и французским разработчикамиXie Huagang и Philippe Biondi и доступна на сайте http://www.Iids.org. На этомсайте доступна как сама система LIDS, так и документация к ней. Однакоразработчики системы не спешат обновлять документацию к новым версиямсистемы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
