Cíl
Naším cílem je nastavit přístup k interním a vzdáleným úložištím yum, zatímco některá z nich jsou za proxy servery.
Verze operačního systému a softwaru
- Operační systém:Red Hat Enterprise Linux 7.5
Požadavky
Privilegovaný přístup do systému
Obtížnost
SNADNÉ
Konvence
- # – vyžaduje, aby dané linuxové příkazy byly spouštěny s právy root buď přímo jako uživatel root, nebo pomocí
sudo
příkaz - $ – dané linuxové příkazy, které mají být spouštěny jako běžný neprivilegovaný uživatel
Úvod
V podnikovém prostředí je běžné omezovat přístup k internetu – z důvodu bezpečnosti i odpovědnosti. Toho se často dosahuje pomocí proxy serverů, které umožňují přístup k internetu po určitém druhu autentizace, přičemž kontrolují a zaznamenávají veškerý provoz, který jimi prochází. Tímto způsobem může společnost například najít zaměstnance, který si stáhl virus způsobující zkázu v podnikovém systému (nebo alespoň zaměstnance, kterému byly odcizeny přihlašovací údaje, aby tak učinily), nebo filtrovat provoz a zabránit tak přístupu na známé škodlivé stránky. k ochraně vybavení zaměstnanců.
Může však být zapotřebí jiný typ přístupu k internetu:jako správce systému potřebujete aktualizace softwaru pro servery, aby byly aktuální. Tento provoz může procházet i přes proxy, pokud nastavíte yum
používat proxy. Ale co interní úložiště, která nejsou s tímto nastavením dosažitelná, protože jsou v síti LAN? Kam toto nastavení umístit, pokud je daný počítač stolní počítač, který se používá také k prohlížení? Pojďme zjistit, jak nastavit některé možné případy použití s Red Hat Linux.
Nastavení výukového programu
V tomto tutoriálu předpokládáme, že proxy v našem prostředí je proxy.foobar.com
, sloužící na portu 8000
, a vyžaduje jednoduché ověření uživatelského jména/hesla pro přístup do zbytku světa. Platné přihlašovací údaje jsou foouser
jako uživatelské jméno a secretpass
jako heslo. Všimněte si, že váš proxy může být úplně jiný, nemusí vyžadovat heslo nebo dokonce uživatelské jméno, záleží na jeho konfiguraci.
Ad hoc připojení prostřednictvím proxy
Pokud se potřebujete jednou připojit přes proxy, například stáhnout balíček z příkazového řádku nebo otestovat připojení před dokončením konfigurace, můžete exportovat proměnné související s proxy do aktuální relace příkazového řádku:
$ export http_proxy=http://foouser:[email protected]:8000
Můžete nastavit https_proxy
proměnná stejným způsobem.
Dokud relaci neukončíte nebo unset
exportovanou proměnnou, http
(nebo https
) provoz se pokusí připojit k proxy – včetně provozu generovaného yum
. Mějte na paměti, že to způsobí, že v historii uživatele bude uvedeno platné proxy uživatelské jméno a heslo! Může se jednat o citlivé informace, které nejsou určeny ke čtení pro ostatní, kteří mají přístup k souboru historie.
Veškerý provoz využívá proxy
Pokud systém jako celek potřebuje k oslovení použít proxy, můžete nastavit proxy v /etc/profile
, nebo umístěte proměnné do samostatného souboru do /etc/profile.d
adresář, takže tato nastavení stačí upravit pouze na jednom místě. Mohou pro to existovat případy použití, ale také mějte na paměti, že v tomto případě se veškerý provoz zkouší přes proxy – takže prohlížeč se pokusí dostat i na interní stránky přes proxy.
Všimněte si, že jsme nastavili stejnou proměnnou prostředí jako u jednorázového připojení proxy, ale nastavili jsme ji pouze při spuštění, proto všechny uživatelské relace tyto proměnné „zdědí“.
Pokud potřebujete nastavit celý proxy systém, přidejte následující do /etc/profile
nebo samostatný soubor pod /etc/profile.d
adresář pomocí vašeho oblíbeného textového editoru:
export http_proxy=http://foouser:[email protected]:8000
export https_proxy=http://foouser:[email protected]:8000
Můžete je také nastavit na úrovni uživatele (například v .bash_profile
), v takovém případě platí pouze pro tohoto konkrétního uživatele. Stejným způsobem může každý uživatel přepsat tato celosystémová nastavení přidáním nové hodnoty k těmto proměnným.
V připomenutí tohoto tutoriálu se zaměříme na yum
a jsou to nakonfigurovaná úložiště, takže předpokládáme, že nemáme nebo nepotřebujeme nastavení proxy pro celý systém. To může dávat smysl, i když uživatelé prohlížející počítač musí k připojení k Internetu používat proxy.
Například uživatelé plochy budou muset používat své vlastní přihlašovací údaje a k dané ploše může mít přístup více uživatelů. ale když správce provede nasazení na všech klientských počítačích (možná pomocí systému centrální správy), instalace provede yum
může vyžadovat pověření vyhrazená pro provoz na systémové úrovni. Pokud se změní heslo uživatele používané pro připojení proxy, je třeba konfiguraci aktualizovat, aby správně fungovala.
Všechna úložiště jsou externí
Náš systém dosáhne výchozích úložišť Red Hat prostřednictvím proxy a nemáme žádná interní úložiště. Na druhou stranu jakékoli jiné programy, které používají síť, nepotřebují a ani by neměly používat proxy. V tomto případě můžeme nakonfigurovat yum
pro přístup ke všem úložištím pomocí proxy přidáním následujících řádků do /etc/yum.conf
soubor, který se používá k uložení globálních parametrů yum pro daný stroj:
proxy=http://proxy.foobar.com:8000
proxy_username=foouser
proxy_password=secretpass
V tomto případě mějte na paměti, že tato konfigurace se přeruší i při změně hesla. Jakákoli nová přidaná úložiště budou dosažena prostřednictvím proxy, pokud na úrovni úložiště neexistuje žádné přepsání.
Některá úložiště jsou externí
Nastavení může být o něco složitější, pokud existují současně externí a interní úložiště – například vaše servery se mohou dostat k úložištím dodavatele přes otevřený internet pomocí podnikového proxy serveru a zároveň potřebují přístup k internímu úložiště obsahující software vyvinutý a zabalený v rámci společnosti, které jsou výhradně pro interní použití.
V tomto případě musíte upravit nastavení pro jednotlivé úložiště. Nejprve nastavte proxy globálně pro yum, protože všechna úložiště jsou externí, jak je vysvětleno v předchozí části. U interních úložišť otevřete každý soubor obsahující externí úložiště pod /etc/yum.repos.d
a přidejte proxy=_none_
parametr do konfigurace interního úložiště. Například:
Závěr
Proxy poskytují bezpečnost a odpovědnost, ale někdy nám mohou ztížit život. S určitým plánováním a znalostí dostupných nástrojů můžeme integrovat naše systémy s proxy, aby mohly získat všechna data, pro která jsou určeny, způsobem, který je v souladu s našimi nastaveními proxy.
Pokud máte mnoho systémů, které potřebují dosáhnout stejných úložišť mimo firemní firewall, vždy zvažte zrcadlení těchto úložišť lokálně, čímž ušetříte spoustu šířky pásma a instalaci nebo upgrade klientů zajistíte nezávislými na světě mimo místní síť. čímž je náchylnější k chybám. Můžete nastavit proxy nastavení na zrcadlení počítačů a nechat všechny ostatní počítače mimo veřejný internet alespoň z yum
perspektivní. Existují řešení pro centrální správu, která tuto funkcionalitu poskytují, a to jak open source, tak placená verze.