追蹤
NEIL's_學而時習之x不學無術~私藏IT技術經驗分享部落
關於部落格
NEIL. Cheng....寫作只是為了日後工作之備忘操作參考

本部落格文章撰寫前進邁向第五年(since 2009 ~至今)仍繼續推進分享IT學習!!About Windows/Linux Server,Virtualization


分享網誌: 由於,本人預先完成LAB後,才補上撰寫文章與截圖,若發現文圖對照說明有誤..本人將盡快校正,也請不吝指教! Thanks!

  • 159077

    累積人氣

  • 37

    今日人氣

    0

    追蹤人氣

Neil's Ubuntu 備忘操作筆記整理(一.): 常用組態,DNS,FTP,OpenVPN AS..by Neil

[ Lab 開始] 

(A.)編輯 /etc/sudoers 授予指定帳號擁有執行root執行權限
 
vi /etc/sudoers         

%admin ALL=(ALL) ALL            #可將授予root執行權力受與特定群組(admin)內使用者
    groupadd admin               

    usermod   -G admin  neil   

    id   neil

   #Ubuntu預設未開放"root "登入,必須指定一般user被授權且搭配sudo指令短暫獲得執行權

(B.) Ubuntu 開機自動啟動某支Scripts配置 類似RHEL(rc.local)

       cd /etc/rcS.d
    
#於此目錄下/etc/rcS.d 使用連結方式例如: link -s    /usr/local/bin/firewall.sh  S100firewall

S開頭連結檔取名後方數值自定,數字越大排定越後面執行

最後別忘了chmod +x /usr/local/bin/firewall.sh  授予該script "x" 或755 執行權限
#下載 sysv-rc-conf 套件設定套件啟動runlevel   

   aptitude install sysv-rc-conf


輸入 sysv-rc-conf  我們可進入勾選服務啟動runlevel 層級,相當方便


(C.) 常用套件管理: 有apt-get (安裝,刪除)  apt-cache (搜尋套件)  aptitude (複合前兩者功能) 

 個人習慣用"aptitude"就用這個來解說..xxx=套件名稱

 aptitude   update ;   aptitude upgrade    #套件更新,升級
 

 aptitude  search  xxxx    #查看指定安裝套件

 aptitude  install   xxxx    #安裝套件,刪除套件搭配"remove"  or "purge" 刪除套件相關軟件

 aptitude   show   xxxx    #查看套件版本訊息介紹類似 RHEL "yum info  xxx"
  dpkg -l   |  grep xxxx          #檢視目前已安裝套件訊息  ,搭配-r 刪除套件,搭配-i 安裝套件

(D.)  常用伺服器服務安裝 bind9(DNS) , vsftpd(FTP上傳下載) 安裝與組態紀錄

 
安裝: bind9  vsftpd 

 #aptitude install bind9  vsftpd  

 下圖: 可使用 aptitude show 套件名稱   #查詢版本 version 3.0.2


  下圖: 可使用 aptitude show 套件名稱   #查詢版本 bind9 ver. 9.9.5

[bind9 DNS:網域名稱解析]:  組態方式與CentOS 版本上組態方式差不多,程式目錄底下有

bind主目錄: /etc/bind

named.conf  : Include 讀取三個設定檔  #當bind9 啟動時

named.conf.options : bind9 全域相關設定檔,EX: 可在此設forwards dns 配置

named.conf.local:  bind9  自定正解zone,反解zone 組態可添加於此    

底下範例: 我們計畫新增正反zone 網域名稱"chronos.com"  新增如下


 
zone "chronos.com" IN {                     #正解Zone配置
        type master;
        file "/etc/bind/chronos.hosts";     #配置檔案路徑
        };
 
zone "11.168.192.in-addr.arpa" {     #反解Zone配置
        type master;
        file "/etc/bind/192.168.11.rev";   
        };
 

上述配置完成後我們現在認真編輯"chronos"正解檔案,"反解檔案" DNS 紀錄

vi /etc/bind/chronos.hosts  #正解紀錄檔案

$ttl 38400
@               IN      SOA     dns.chronos.com. chaconx.gmail.com. (
                        1234436563
                        10800
                        3600
                        604800
                        38400 )
 
                        IN      NS      dns.chronos.com.        #正解配置檔我門新增三筆記錄一筆 CNAME
                                                                                        Record 兩筆 A 紀錄
 
dns                     IN      A       192.168.11.182
 
www                     IN      A       192.168.11.182
 
ftp                     IN    CNAME     www.chronos.com.      
 
vi /etc/bind/192.168.11.rev       #反解紀錄檔案

 
$ttl 38400
 
 
@       IN      SOA     dns.chronos.com. chaconx.gmail.com. (
                        1235056085
                        10800
                        3600
                        604800
                        38400 )
 
@       IN      NS      dns.chronos.com.
 
182     IN      PTR     dns.chronos.com.        #反解檔,建立三筆PTR對應紀錄,存檔後離開        
 
182     IN      PTR     www.chronos.com.
 
182     IN      PTR     ftp.chronos.com.
 

 #  service named restart     - > 重啟生效新設定即可

named.conf.default-zones: 系統預設local zone 組態將添入此,一般無須異動
 
OK 現再來驗收DNS服務設定: NSLOOKUP

[ 本機 ]:  bind , ftp, www 皆為同一台機器運作,解析成功
使用 'dig' 指定dns server: dns.chronos.com 去查一筆記錄 "ftp.chronos.com"  回傳結果OK
[遠端Win7測試查詢] nslookup      #查詢Record OK
小結: 在Ubuntu上組態與CentOS大同小異,往後章節我們將新增MX紀錄建立郵件服務(Postfix)配置

[vsftpd]  vi /etc/vsftpd.conf                #組態部分與CentOS上組態版本差異

[匿名上傳配置]

 anonymous_enable=YES
 local_umask=022
 write_enable=YES
 anon_upload_enable=YES
 anon_mkdir_write_enable=YES
 anon_root=/var/ftp/                             #建立匿名上傳目錄
 anon_umask=022

#mkdir /var/ftp 

#cd   /var/ftp

#mkdir chichi  

#chmod o+x chichi        #受與匿名目錄下chichi資料夾x權限,供匿名者上傳檔案用        

#service vsftpd resatrt

測試匿名上傳: 在chichi 資料夾上傳OK


[開放本機帳號上傳配置參考] : 其餘設定庵是保留預設值不動

local_enable=YES
write_enable=YES
local_umask=022
pasv_enable=Yes                #配置防火牆除了20,21外另須增設vsftpd 使用port range
pasv_max_port=40000
pasv_min_port=40100
 
#service vsftpd resatrt

[測試本機帳戶上傳] : 測試帳戶: neil 登入 ,  上傳檔案"ln.png"OK

[安全SFTP SSL加密傳輸FTP參考] : 

產生金鑰資訊與憑證:   主機名稱: ftp.chronos.com

openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

vi  etc/vsftpd.conf

rsa_cert_file=/etc/ssl/private/vsftpd.pem                     #Cert憑證路徑
rsa_private_key_file=/etc/ssl/private/vsftpd.pem      #私鑰路徑
 
ssl_enable=YES                                     #啟用ssl 加密傳輸配置
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
 
#service vsftpd resatrt

[驗收SSL FTP 傳輸與登入] :  帳戶: chronos 協定選擇: "SFTP" SSH File Transfer Protocol 

    測試Secure FTP 加密上傳檔案傳輸OK
小結: 在Ubuntu上組態與CentOS大同小異(不贅述(,有了SSL加密傳輸使FTP更為安全

[Open VPN Access Server]  
簡易佈署 SSL VPN實務: 到此網站 下載Ubuntu 安裝套件
 安裝軟件: dpkg -i openvpn-as-2.0.10-Ubuntu14.amd_64.deb
 組態OpenVPN啟動設定:   /usr/local/openvpn_as/bin/ovpn-init


Please enter 'yes' to indicate your agreement [no]: yes

Once you provide a few initial configuration settings,
OpenVPN Access Server can be configured by accessing
its Admin Web UI using your Web browser.

Will this be the primary Access Server node?
(enter 'no' to configure as a backup or standby node)
> Press ENTER for default [yes]:

Please specify the network interface and IP address to be
used by the Admin Web UI:
(1) all interfaces: 0.0.0.0
(2) eth0: 192.168.11.182       #目前只有一張對外網卡做測試 eth0

Please enter the option number from the list above (1-2).
> Press Enter for default [2]:

Please specify the port number for the Admin Web UI.
> Press ENTER for default [943]: 52020        #自行定義OPEN AS 服務Port Number

Please specify the TCP port number for the OpenVPN Daemon
> Press ENTER for default [443]:

Should client traffic be routed by default through the VPN?
> Press ENTER for default [yes]:

Should client DNS traffic be routed by default through the VPN?
> Press ENTER for default [yes]: no

Use local authentication via internal DB?
> Press ENTER for default [no]:              #使用內部帳戶DB(本機資料庫),亦可整合AD(LDAP)

Private subnets detected: ['192.168.11.0/24']

Should private subnets be accessible to clients by default?
> Press ENTER for default [yes]:

To initially login to the Admin Web UI, you must use a
username and password that successfully authenticates you
with the host UNIX system (you can later modify the settings
so that RADIUS or LDAP is used for authentication instead).

You can login to the Admin Web UI as "openvpn" or specify
a different user account to use for this purpose.

Do you wish to login to the Admin UI as "openvpn"?
> Press ENTER for default [yes]:

> Please specify your OpenVPN-AS license key
(or leave blank to specify later): 購買授權KEY填入


安裝完成後提醒:

Admin  UI: https://192.168.11.182:52020/admin       #系統管理員登入Admin

Client UI:
https://192.168.11.182:52020/     #客戶端連線到此網站安裝SSL憑證資料使用VPN

Then 變更OpenVPN 系統管理員帳戶密碼

#passwd openvpn

#/etc/init.d/openvpnas restart

進入openvpn as 管理首頁  https://192.168.11.182:52020/admin


   授權書同意: agree
   進入首頁管理介面: 點選   "Server Network Settings" 對hostname 做修正

   原IP 由於我們已設定DNS對應記錄故修改為"www.chronos.com"
    Save Setting
   由於 OpenVPN  Access Server 預設授權免費2名,超過2名以上存取需求須另購授權
   軟體有讚許地方有Log 檢視分析報告,可供系統管理員偵錯,追蹤問題所在

   亦支援 Primary/Secondary 主從切換HA備援
   亦支援LDAP 帳戶驗證(目前使用PAM為本機帳戶驗證)

OK Then 接下來測試 Client 存取SSL VPN

測試環境Win7: 連線網站SSLVPN 下載安裝憑證/軟體

https://www.chronos.com:52020/   

#網站首先要您登入OpenVPN 本機帳戶名稱/密碼,才可順利下載VPN連線軟體並安裝
   安裝軟體後: 啟動桌面OpenVPN程式->右下角可以看到軟體

   選擇 connect to www.chronos.com    #再次輸入OpenVPN帳號/密碼=>Connect


    右下角可以成功看見連結OK,SSL VPN 連線成功

   再來檢視Win7網路配置: 多了172.27.232.0 虛擬網段與OpenVPN AS 持續溝通
  最後再回到OpenVPN UI 介面驗證Current USERS: 可在此介面看到 vpn 用戶neil 連線vpn明細

 總結:

本篇實作主要為了備忘日後對Ubuntu操作做紀錄,本人對Ubuntu掌握尚熟於CentOS/RedHat

仍期許他日也能操作Ubuntu佈署服務時可多一個選擇應用,總結本篇實做了 "Ubuntu常用機礎操作"

,"bind9 DNS 服務建置與設定" 及 "VSFTP 匿名使用者/帳戶使用者/Secure FTP加密檔案傳輸" 最後
 
 抽空演示 OpenVPN Access Server  關於Client端的SSL VPN 連線設計,他日繼續將整理 web,mail

 nfs,samba...等常用服務作為日後備忘操作參考(並指出與Redhat體系尚配置習慣的差異為何)
 
 
相簿設定
標籤設定
相簿狀態