يعد إعداد Active Directory عملية بسيطة إلى حد ما ويتم مناقشتها في العديد من الموارد على الإنترنت، بما في ذلك الموارد الرسمية. ومع ذلك، في مدونتي، لا يسعني إلا أن أتطرق إلى هذه النقطة، حيث أن معظم المقالات المستقبلية ستعتمد بطريقة أو بأخرى على البيئة، التي أخطط لإنشائها الآن.

إذا كنت مهتمًا بموضوعات Windows Server، أوصي بمراجعة العلامة الموجودة على مدونتي. أوصي أيضًا بقراءة المقال الرئيسي عن Active Directory -

أخطط لنشر دور AD على خادمين افتراضيين (وحدات تحكم المجال المستقبلية) بدوره.

1. أولا وقبل كل شيء، تحتاج إلى تعيين المناسب أسماء الخادمبالنسبة لي سيكون DC01 و DC02؛
2. بعد ذلك، اكتب إعدادات الشبكة الثابتة(وسأناقش هذه النقطة بالتفصيل أدناه)؛
3. ثَبَّتَ كافة تحديثات النظاموخاصة التحديثات الأمنية (بالنسبة للقرص المضغوط يعد هذا أكثر أهمية من أي دور آخر).

في هذه المرحلة عليك أن تقرر ما اسم المجال الذي سيكون لديك؟. هذا مهم للغاية، لأن تغيير اسم النطاق سيكون مشكلة كبيرة جدًا بالنسبة لك، على الرغم من أن سيناريو إعادة التسمية قد تم دعمه وتنفيذه رسميًا لفترة طويلة.

ملحوظة:ن يمكن العثور على بعض المناقشات، بالإضافة إلى العديد من الروابط للمواد المفيدة، في مقالتي. أنصح بقراءته، بالإضافة إلى قائمة المصادر المستخدمة.

وبما أنني سأستخدم وحدات تحكم المجال الافتراضية، فأنا بحاجة إلى تغيير بعض إعدادات الأجهزة الافتراضية، وهي تعطيل مزامنة الوقت مع برنامج Hypervisor. يجب أن تتم مزامنة الوقت في AD حصريًا من مصادر خارجية. يمكن أن تؤدي إعدادات مزامنة الوقت الممكّنة مع برنامج Hypervisor إلى مزامنة دورية، ونتيجة لذلك، مشاكل في تشغيل المجال بأكمله.

ملحوظة:يعد تعطيل المزامنة مع مضيف المحاكاة الافتراضية هو الخيار الأسهل والأسرع. ومع ذلك، هذه ليست أفضل الممارسات. وفقًا لتوصيات Microsoft، يجب عليك فقط تعطيل المزامنة مع المضيف جزئيًا. لفهم مبدأ التشغيل، اقرأ الوثائق الرسمية، التي قفزت بشكل جذري في السنوات الأخيرة من حيث مستوى عرض المادة .

بشكل عام، يختلف أسلوب إدارة وحدات التحكم بالمجال الافتراضية بسبب بعض ميزات عمل AD DS:

تمثل البيئات الافتراضية تحديًا خاصًا لأحمال العمل الموزعة التي تعتمد على منطق النسخ المتماثل المستند إلى الوقت. على سبيل المثال، يستخدم النسخ المتماثل AD DS قيمة متزايدة بشكل موحد (تسمى USN، أو الرقم التسلسلي للتحديث) المخصصة للمعاملات في كل وحدة تحكم بالمجال. يتلقى كل مثيل لقاعدة بيانات وحدة تحكم المجال أيضًا معرفًا يسمى InvocationID. يعمل InvocationID الخاص بوحدة تحكم المجال ورقم التحديث المتداول الخاص به معًا كمعرف فريد مقترن بكل معاملة كتابة يتم إجراؤها على كل وحدة تحكم مجال ويجب أن يكون فريدًا داخل المجموعة.

الآن بعد أن اكتملت الخطوات الأساسية لتهيئة البيئة، ننتقل إلى مرحلة التثبيت.

تثبيت الدليل النشط

يتم التثبيت من خلال Server Manager ولا يوجد أي شيء معقد بشأنه، ويمكنك الاطلاع على جميع خطوات التثبيت بالتفصيل أدناه:

شهدت عملية التثبيت نفسها بعض التغييرات مقارنة بالإصدارات السابقة من نظام التشغيل:

يعد نشر خدمات مجال Active Directory (AD DS) في Windows Server 2012 أسهل وأسرع من الإصدارات السابقة من Windows Server. أصبح تثبيت AD DS الآن مستندًا إلى Windows PowerShell ومتكاملًا مع Server Manager. تم تقليل عدد الخطوات المطلوبة لتطبيق وحدات تحكم المجال في بيئة Active Directory الموجودة.

ما عليك سوى اختيار الدور خدمات مجال الدليل النشط، لا يلزم تثبيت أي مكونات إضافية. تستغرق عملية التثبيت القليل من الوقت ويمكنك متابعة التكوين على الفور.

عند تثبيت الدور، ستشاهد علامة تعجب في الجزء العلوي الأيسر من Server Manager تشير إلى أن تكوين ما بعد النشر مطلوب. انقر ترقية هذا الخادم إلى وحدة تحكم المجال.

ترقية الخادم إلى وحدة تحكم المجال

يتم وصف خطوات عمل المعالج بالتفصيل في الوثائق. ومع ذلك، دعونا نستعرض الخطوات الأساسية.

وبما أننا نقوم بنشر AD من الصفر، فنحن بحاجة إلى إضافة مجموعة تفرعات جديدة. تأكد من تخزين كلمة مرور وضع استعادة خدمات الدليل (DSRM) بشكل آمن. يمكنك ترك موقع قاعدة بيانات AD DS على الوضع الافتراضي (وهو ما يوصى به. ومع ذلك، من أجل التنوع، قمت بتحديد دليل مختلف في بيئة الاختبار الخاصة بي).

نحن في انتظار التثبيت.

بعد ذلك سيتم إعادة تشغيل الخادم من تلقاء نفسه.

إنشاء حسابات مسؤول المجال/المؤسسة

سوف تحتاج إلى تسجيل الدخول باستخدام حساب المسؤول المحلي، كما كان من قبل. اذهب إلى المفاجئة مستخدمي Active Directory وأجهزة الكمبيوتر، قم بإنشاء الحسابات اللازمة - في هذه المرحلة هذا هو مسؤول المجال.

إعداد DNS على DC واحد في المجال

أثناء تثبيت AD، تم أيضًا تثبيت دور AD DNS، حيث لم يكن لدي أي خوادم DNS أخرى في البنية التحتية الخاصة بي. لكي تعمل الخدمة بشكل صحيح، تحتاج إلى تغيير بعض الإعدادات. أولاً، تحتاج إلى التحقق من خوادم DNS المفضلة لديك في إعدادات محول الشبكة. ما عليك سوى استخدام خادم DNS واحد بالعنوان 127.0.0.1. نعم، المضيف المحلي بالضبط. بشكل افتراضي، يجب أن يسجل نفسه.

بعد التأكد من صحة الإعدادات، قم بفتح الأداة الإضافية DNS. انقر بزر الماوس الأيمن على اسم الخادم وافتح خصائصه، وانتقل إلى علامة التبويب "خادم التوجيه". تم تسجيل عنوان خادم DNS الذي تم تحديده في إعدادات الشبكة قبل تثبيت دور AD DS تلقائيًا باعتباره معيد التوجيه الوحيد:

من الضروري حذفه وإنشاء عنوان جديد، ومن المرغوب فيه جدًا أن يكون خادم المزود، ولكن ليس عنوانًا عامًا مثل 8.8.8.8 و8.8.4.4 المعروفين. للتسامح مع الخطأ، قم بتسجيل خادمين على الأقل. اترك مربع الاختيار لاستخدام الروابط الجذرية في حالة عدم توفر وكلاء توجيه. الروابط الجذرية هي مجموعة معروفة من خوادم DNS ذات المستوى الأعلى.

إضافة العاصمة الثانية إلى المجال

وبما أنني تحدثت في الأصل عن وجود وحدتي تحكم بالمجال، فقد حان الوقت لبدء إعداد الوحدة الثانية. ننتقل أيضًا من خلال معالج التثبيت، ونقوم بترقية الدور إلى وحدة تحكم المجال، ما عليك سوى الاختيار إضافة وحدة تحكم المجال إلى مجال موجود:

يرجى ملاحظة أنه في إعدادات الشبكة لهذا الخادم، الرئيسي يجب تحديد وحدة تحكم المجال الأولى التي تم تكوينها مسبقًا كخادم DNS! هذا مطلوب، وإلا سوف تحصل على خطأ.

بعد الإعدادات اللازمة، قم بتسجيل الدخول إلى الخادم باستخدام حساب مسؤول المجال الذي تم إنشاؤه مسبقًا.

إعداد DNS على وحدات تحكم المجال DC المتعددة في المجال

لمنع مشاكل النسخ المتماثل، تحتاج إلى تغيير إعدادات الشبكة مرة أخرى ويجب أن يتم ذلك على كل وحدة تحكم مجال (وعلى وحدات التحكم الموجودة مسبقًا أيضًا) وفي كل مرة تقوم فيها بإضافة DC جديد:

إذا كان لديك أكثر من ثلاثة وحدات تحكم المجال (DC) في المجال، فستحتاج إلى تسجيل خوادم DNS من خلال الإعدادات الإضافية بهذا الترتيب. يمكنك قراءة المزيد عن DNS في مقالتي.

تحديد الوقت

يجب إكمال هذه الخطوة، خاصة إذا كنت تقوم بإعداد بيئة حقيقية في الإنتاج. كما تتذكر، لقد قمت سابقًا بتعطيل مزامنة الوقت من خلال برنامج Hypervisor والآن أحتاج إلى تكوينه بشكل صحيح. وحدة التحكم التي لها دور محاكي FSMO PDC مسؤولة عن توزيع الوقت الصحيح على المجال بأكمله (ألا تعرف ما هو هذا الدور؟ اقرأ المقال). في حالتي، هذه، بالطبع، وحدة تحكم المجال الأولى، وهي الحاملة لجميع أدوار FSMO في البداية.

سنقوم بتكوين الوقت على وحدات تحكم المجال باستخدام سياسات المجموعة. اسمحوا لي أن أذكرك بأن حسابات أجهزة الكمبيوتر الخاصة بوحدات تحكم المجال موجودة في حاوية منفصلة ولها سياسة مجموعة افتراضية منفصلة. ليست هناك حاجة لتغيير هذه السياسة، بل قم بإنشاء سياسة جديدة.

قم بتسميته كما تراه مناسبًا وكيف سيتم إنشاء الكائن، انقر بزر الماوس الأيمن - يتغير. لنذهب إلى تكوين الكمبيوتر\السياسات\قوالب الإدارة\النظام\خدمة الوقت في Windows\موفري الوقت. تفعيل السياسات تمكين عميل Windows NTPو تمكين خادم Windows NTP، انتقل إلى خصائص السياسة تكوين عميل Windows NTPوتعيين نوع البروتوكول - نتب، نحن لا نلمس الإعدادات المتبقية:

ننتظر تطبيق السياسات (استغرق الأمر من 5 إلى 8 دقائق تقريبًا، على الرغم من تشغيل gpupdate /force وبعض عمليات إعادة التشغيل)، وبعد ذلك نحصل على:

بشكل عام، تحتاج إلى التأكد من أن محاكي PDC فقط هو الذي يقوم بمزامنة الوقت من المصادر الخارجية، وليس جميع وحدات التحكم بالمجال على التوالي، ولكن هذا سيكون هو الحال، حيث تنطبق سياسة المجموعة على جميع الكائنات الموجودة في الحاوية. يجب إعادة توجيهه إلى كائن محدد في حساب الكمبيوتر الذي يمتلك دور محاكي PDC. ويتم ذلك أيضًا من خلال سياسات المجموعة - في وحدة التحكم gpmc.msc، انقر بزر الماوس الأيسر فوق السياسة المطلوبة وستظهر إعداداتها على اليمين. في مرشحات الأمان، تحتاج إلى إضافة حساب وحدة تحكم المجال المطلوبة:

اقرأ المزيد حول مبدأ التشغيل وتكوين خدمة الوقت في الوثائق الرسمية.

يكمل هذا إعداد الوقت ومعه الإعداد الأولي لـ Active Directory.

يمكنك التحقق من نطاقك وتسجيله لدى أحد المسجلين المدرجين هنا:

كيفية إعداد مجال مسجل بحيث "يعمل" الموقع؟

للقيام بذلك، تحتاج إلى الذهاب إلى لوحة مسجل المجال، واختيار المجال وتحديد منطقة DNS الخاصة بخوادم الاستضافة التي سيتم استضافة موقعك عليها. تعرف على عناوين منطقة DNS من المضيفين مسبقًا.

مسار تقريبي على موقع المسجل للإعداد الذي تحتاجه: "الحساب الشخصي" --> "تحديد المجال" --> "إدارة النطاق" --> "إدارة خوادم / تفويض DNS"

وهنا تحتاج إلى تحديد الإدخالات، على سبيل المثال (ليس من الضروري تحديد عناوين IP ما لم يتم تحديدها بدقة):

NS1:	ns1.xxx.ru	IP1:	00.000.00.0
NS2:	ns2.xxx.ru	IP2:	00.000.00.0
NS3:	ns3.xxx.ru	IP3:	00.000.00.0
NS4:	ns4.xxx.ru	IP4:	00.000.00.0

احفظ الإعدادات وانتظر حتى يبدأ المجال في العمل. الوقت التقريبي لتغيير المعلومات على الشبكة هو من 6 إلى 72 ساعة.

إذا لم تكن قد اكتشفت كيفية تغيير DNS بنفسك، فاستخدم نموذج الملاحظات مع الدعم الفني أو الدردشة عبر الإنترنت مع موظفي المسجل.

يوفر جميع مسجلي النطاق خوادمهم لاستضافة مواقع الويب ويمكنك استخدام هذه الخدمة منهم. ومع ذلك، أنصحك بعدم القيام بذلك. كما تظهر الممارسة، يجب أن يكون المسجل والمضيف مختلفين. من الأفضل تسجيل جميع النطاقات لدى مسجل واحد "ملائم". سيسمح لك هذا بإدارة جميع النطاقات مرة واحدة في مكان واحد، وتغيير DNS بسهولة إذا قمت بتغيير المضيف. في هذا الصدد، يمكنني أن أوصيك بـ 2domains.ru

المواد من Insales ويكي

يمكن فتح هذه الصفحة عن طريق تحديد القسم الفرعي "المجال" في قسم المكتب الخلفي "الإعدادات".

الغرض من الصفحة

في الصفحة، يمكنك تكوين اسم المجال لمتجرك عبر الإنترنت.

القابلية للتطبيق

من الممكن إعداد اسم مجال لمتجر عبر الإنترنت في خطط التعريفة التي تبدأ بـ "ابدأ".

الوصف العام للصفحة

تهدف الصفحة إلى الإشارة إلى اسم المجال (عنوان الإنترنت) الخاص بالمتجر، إذا كان يجب أن يختلف عن "store_name.myinsales.ru" الافتراضي. لا يُنصح بتغيير اسم النطاق أثناء عمل المتجر. من الأفضل ضبطه في بداية العمل ولفترة طويلة، فهذا يسهل استخدام تحسين محرك البحث لزيادة حركة مرور المتجر.

أرز. 1. "صفحة إعداد المجال"

إذا كنت قد اشتريت بالفعل اسم المجال، فأنت بحاجة إلى الإشارة إليه في الحقل (الشكل 1. العنصر 2.) وانقر فوق الزر "حفظ" (الشكل 1. العنصر 4.)، ثم تنفيذ إعدادات DNSمن مسجل اسم النطاق الخاص بك (انظر أدناه).

إذا كنت بحاجة إلى إعادة التوجيه من عنوان مثل "name.myinsales.ru"إلى عنوانك (الشكل 1. البند 2.)، تحتاج إلى تحديد مربع الاختيار (الشكل 1. البند 3.). يمكنك تعيين أو إزالة مربع الاختيار هذا لاحقًا.

كيف يمكنني شراء اسم المجال؟

إذا لم تكن قد اشتريت اسم نطاق بعد، فيمكنك شرائه من خلالنا. في هذه الحالة، يجب أن يكون لديك 580 روبل في رصيدك، والتي سيتم خصمها مقابل تسجيل الاسم. لكي يتم تسجيل اسم النطاق باسمك، عليك اتباع الرابط "يسجل"(الشكل 1. البند 1.).

أرز. 2. "تسجيل اسم المجال لنفسك"

سيتم عرض صفحة "تحديد المجال"، حيث تحتاج إلى إدخال اسم المجال المطلوب (الشكل 2. العنصر 1.) وانقر فوق الزر "يشتري"(الشكل 2. البند 2.)، ثم املأ النموذج الخاص بفرد أو كيان قانوني.

سيتم فتح متجرك عبر الإنترنت تحت اسم نطاق جديد خلال 4 ساعات. في الوقت الحالي، من خلالنا يمكنك تسجيل الأسماء فقط في مناطق النطاق .ref و .ru و .su و .kz و .com.ua

يمكنك أيضًا إدخال اسم نطاق غير مشغول مباشرةً في النموذج (الشكل 1. العنصر 2.)، ولكن في هذه الحالة سيتم تسجيل اسم النطاق في InSales.

الإعدادات في مسجل اسم المجال

إذا كان لديك بالفعل اسم نطاق تم شراؤه وترغب في إعداده لمتجر على InSales، فباستخدام الأدوات التي يوفرها مسجل اسم النطاق، ستحتاج إلى تغيير خادم NS إلى

ns3.insales.ru

ns4.insales.ru

يعتمد الوقت الذي يبدأ فيه فتح المتجر تحت اسم نطاق جديد على عدة عوامل ويمكن أن يستغرق ما يصل إلى 3 أيام.

يتم وصف إعداد النطاق لبعض المسجلين أدناه. إذا واجهت صعوبات في إعداد النطاق، فاكتب إلى الدعم الفني، وسوف يساعدونك في التغلب عليها.

كنت بحاجة إلى نشر خدمة Active Directory في مواقع منفصلة جغرافيًا، والتي ترتبط شبكاتها باستخدام VPN. للوهلة الأولى تبدو المهمة بسيطة، لكن شخصياً لم أتعامل مع مثل هذه الأمور من قبل وبالبحث السريع لم أجد أي صورة أو خطة عمل واحدة في هذه الحالة. اضطررت إلى جمع المعلومات من مصادر مختلفة ومعرفة الإعدادات بنفسي.

من هذه المقالة سوف تتعلم:

التخطيط لتثبيت Active Directory على شبكات فرعية مختلفة

إذن لدينا شبكتان فرعيتان 10.1.3.0/24 و 10.1.4.0/24 ، ولكل منها عدد معين من أجهزة الكمبيوتر ومشاركة الشبكة. نحن بحاجة إلى الجمع بين كل هذا في مجال واحد. ترتبط الشبكات ببعضها البعض عن طريق نفق VPN، وتقوم أجهزة الكمبيوتر بإجراء اختبار الاتصال ببعضها البعض في كلا الاتجاهين، ولا توجد مشاكل في الوصول إلى الشبكة.

للتشغيل العادي لخدمة Active Directory، سنقوم بتثبيت وحدة تحكم المجال في كل شبكة فرعية وتكوين النسخ المتماثل بينهما. سوف نستخدم Windows Server 2012R2. تسلسل الإجراءات هو كما يلي:

• نقوم بتثبيت وحدة تحكم المجال في شبكة فرعية واحدة، ورفع مجال جديد عليها في غابة جديدة
• تثبيت وحدة تحكم المجال في الشبكة الفرعية الثانية وإضافتها إلى المجال
• إعداد النسخ المتماثل بين المجالات

سيتم استدعاء وحدة تحكم المجال الأولى xs-winsrvمع العنوان 10.1.3.4 ، ثانية - إكس إم-وينسرف 10.1.4.6. سيتم استدعاء المجال الذي سنقوم بإنشائه xs.local

تكوين وحدات تحكم المجال للعمل على شبكات فرعية مختلفة

أولاً، قم بتثبيت وحدة تحكم المجال في الغابة الجديدة على الخادم الأول xs-winsrv. لن أتطرق إلى هذا بالتفصيل؛ هناك العديد من الدروس والتعليمات حول هذا الموضوع على الإنترنت. نحن نفعل كل شيء وفقًا للمعايير، ونقوم بتثبيت خدمات AD وDHCP وDNS. نحدد عنوان IP المحلي كخادم DNS الأول والثاني 127.0.0.1 :

بعد ذلك نقوم بتثبيت Windows Server 2012R2 على الخادم الثاني xm-winsrv. الآن نقوم بعدة خطوات مهمة، والتي بدونها لن يكون من الممكن إضافة خادم ثانٍ إلى النطاق. يجب على كلا الخادمين تنفيذ الأمر ping على بعضهما البعض بالاسم. للقيام بذلك، قم بإضافة سجلات حول بعضها البعض إلى الملفات C:\Windows\System32\drivers\etc\host.

في xs-winsrvأضف السطر:

10.1.4.6 xm-winsrv

في xm-winsrvيضيف:

10.1.3.4 xs-winsrv

الآن النقطة الثانية المهمة. على الخادم xm-winsrvنحدد وحدة تحكم المجال الأولى 10.1.3.4 كخادم DNS الأول:

الآن يقوم كلا الخادمين بحل بعضهما البعض. دعونا نتحقق من ذلك أولاً على الخادم xm-winsrv، والذي سنضيفه إلى المجال:

بعد هذا الخادم xs-winsrvيجب نقله من الموقع الافتراضي-الاسم-الموقع الأولإلى الموقع الجديد الذي تم إنشاؤه له. أنت الآن جاهز لإضافة خادم ثانٍ إلى المجال.

إضافة وحدة تحكم مجال ثانية من شبكة فرعية مختلفة

نذهب إلى خادم xm-winsrv الثاني، ونقوم بتشغيل معالج إضافة الأدوار ونضيف 3 أدوار بنفس الطريقة كما في الخادم الأول - AD، DNS، DHCP. عند بدء تشغيل معالج تكوين خدمات مجال Active Directory، حدد العنصر الأول هناك - إضافة وحدة تحكم المجال إلى مجال موجود، قم بالإشارة إلى المجال الخاص بنا xs.local:

في الخطوة التالية، في معلمات وحدة التحكم بالمجال، نحدد اسم الموقع الذي سنرفق وحدة التحكم به:

اسمحوا لي أن أذكرك أن هذا يجب أن يكون موقعًا متصلاً به الشبكة الفرعية 10.1.4.0/24. تنتهي وحدات التحكم الأولى والثانية في مواقع مختلفة. لا تنس تحديد المربع الكتالوج العالمي (GC). ثم نترك جميع الإعدادات على الوضع الافتراضي.

بعد إعادة تشغيل الخادم، سيكون في المجال xs.local. لن تتمكن من تسجيل الدخول كمسؤول محلي؛ ستحتاج إلى استخدام حساب المجال. دعنا نذهب ونتحقق مما إذا كان قد تم النسخ المتماثل مع وحدة تحكم المجال الرئيسية وما إذا كانت سجلات DNS قد تمت مزامنتها. كل هذا سار بشكل جيد بالنسبة لي؛ أخذت وحدة تحكم المجال الثانية جميع المستخدمين وسجلات DNS من الأولى. على كلا الخادمين، في الأداة الإضافية Active-Directory - Sites and Services، يتم عرض كلا وحدتي التحكم، كل منهما في موقعه الخاص:

هذا كل شئ. يمكنك إضافة أجهزة الكمبيوتر في كلا المكتبين إلى المجال.

سأضيف نقطة أخرى مهمة لأولئك الذين سيقومون بتكوين كل هذا على الأجهزة الافتراضية. من الضروري تعطيل مزامنة الوقت مع برنامج Hypervisor على أنظمة الضيف. إذا لم يتم ذلك، فقد تصاب وحدات التحكم بالمجال بالمرض في مرحلة ما.

آمل أن أكون فعلت كل شيء بشكل صحيح. ليس لدي معرفة متعمقة بنسخ Active Directory. من لديه تعليق على محتوى المقال يكتب عنه في التعليقات. لقد قمت بجمع كل المعلومات بشكل رئيسي من المنتديات التي تم فيها طرح الأسئلة أو حل المشكلات حول موضوعات مماثلة تتعلق بتشغيل المجال في شبكات فرعية مختلفة.

دورة عبر الإنترنت "مسؤول Linux"

إذا كانت لديك الرغبة في تعلم كيفية بناء وصيانة أنظمة متوفرة وموثوقة للغاية، فإنني أنصحك بالتعرف على دورة عبر الإنترنت "مسؤول Linux"في أوتوس. الدورة ليست للمبتدئين؛ للتسجيل تحتاج إلى معرفة أساسية بالشبكات وتثبيت Linux على جهاز افتراضي. يستمر التدريب لمدة 5 أشهر، وبعدها سيتمكن خريجو الدورة الناجحون من إجراء مقابلات مع الشركاء. اختبر نفسك في اختبار القبول وراجع البرنامج لمزيد من التفاصيل.

هذا دليل لإعداد المجال الخاص بك، والذي يتكون من أجهزة تعمل بنظام التشغيل Linux أو Windows، مع اتصال دائم وعنوان IP ثابت ومجال مسمى. إنه غير مخصص لعناوين IP المخصصة ديناميكيًا أو الشبكات التي يتم فصلها بانتظام عن مزودها لفترة طويلة، على الرغم من وجوده في قسم القسم. باستخدام عناوين IP الديناميكية هناك عدة نصائح حول هذا الموضوع.

مع تزايد توفر الاتصالات المستمرة وعناوين IP الثابتة للأشخاص والمؤسسات، أصبح من الأسهل تكوين مجالات الإنترنت الحقيقية في البداية. التخطيط السليم يمكن أن ينقذك من العديد من المشاكل في وقت لاحق.

تم تخصيص جزء كبير من هذه الوثيقة لتقنيات إنشاء نظام أمان في شبكة جديدة. ويشمل الحماية ضد الهجمات من الخارج وضد الهجمات العشوائية من الداخل. لا تهدف الوثيقة إلى وصف نظام آمن تمامًا، ولكن ما هو متاح عادة ما يكون كافيًا للحماية من المتسللين الأقل تصميمًا.

هذا المستند مخصص في المقام الأول للمؤسسات الصغيرة التي لديها شبكة من أجهزة الكمبيوتر وربما اتصال الطلب الهاتفي بالإنترنت، وتخطط للتبديل إلى اتصال دائم عالي السرعة نسبيًا لزيادة سرعة نقل البيانات عبر الشبكة أو إنشاء موقع WWW أو FTP الخاص بهم. قد تكون هذه الوثيقة مفيدة أيضًا للمؤسسات الناشئة التي تخطط للبدء فورًا بشبكة عالية السرعة ضمن نطاقها الخاص.

أنا أصف كيفية إعداد نطاق example.com المسجل حديثًا. تم تسجيل هذا المجال من قبل هيئة أرقام الإنترنت المخصصة لاستخدامه في هذا المستند، وبالتالي لن يكون أبدًا هو نفسه المجال الفعلي المستخدم.

يمكن العثور على الكثير من المعلومات المقدمة هنا في مكان آخر. لقد حاولت تصفية المواد المتعلقة بإنشاء مجال جديد. إذا لم تكن هناك مواد كافية حول موضوع معين، فانتقل إلى مصادر أخرى أكثر شمولاً.

من المفترض أنه سيتم استخدام نظام تشغيل مختلف. على وجه التحديد، سأفترض أن محطات العمل تعمل بإصدار من Microsoft Windows، وأن الخوادم وبوابة الشبكة الخاصة تعمل بنظام التشغيل Linux.

تخطيط طوبولوجيا الشبكة الخاصة بك

يمكن أن يكون لتنسيقات الشبكات المختلفة حججها الخاصة المؤيدة والمعارضة. ومع ذلك، يمكن تلبية احتياجات معظم المؤسسات عن طريق تثبيت محطات العمل والخوادم للاستخدام الداخلي على شبكة فرعية خاصة ومقنعة وخوادم عامة على عناوين IP الخارجية الصحيحة. ستتم الإشارة إلى الأجهزة الموجودة على عناوين IP خارجية صالحة باسم "المضيفين غير الآمنين" في هذا المستند. كل ما سبق يؤدي إلى الطوبولوجيا التالية (مثال):

في هذا المثال، تحتوي بوابة ISP (موفر خدمة الإنترنت) وخادم FTP وخوادم WWW و"بوابة الشبكة الخاصة" على عناوين IP مرئية خارجيًا، كما أن محطات العمل والخوادم الداخلية لها عناوين IP مخصصة وفقًا لـ RFC 1918 (محجوزة للاستخدام على الشبكات الداخلية). يجب أن تكون عناوين IP في شبكتك الفرعية الداخلية (كل شيء أسفل بوابة الشبكة الخاصة) فريدة ليس فقط لشبكتك الفرعية، ولكن أيضًا للشبكات الفرعية المماثلة لشركائك الذين قد تخطط معهم لتنظيم شبكة خاصة افتراضية في المستقبل). وينبغي اتباع هذه القاعدة لتجنب الارتباك والحاجة إلى إعادة تكوين الشبكة في المستقبل. وفقًا لـ RFC، يمكنك تحديد أي شبكة فرعية من الفئة C من النطاق 192.168.0.* - 192.168.255.*، أو أي شبكة فرعية من الفئة B من 172.16.*.* - 172.31.*.*، أو الفئة A 10 الشبكة الفرعية *.*.*. في هذا المستند، سأفترض أن شبكتك الخاصة (إذا اخترت إنشاء واحدة) تعتمد على الشبكة الفرعية من الفئة C 192.168.1.*، فإن بوابة الشبكة الخاصة لها عنوان IP هو 10.1.1.9 - أحد العناوين العناوين المخصصة لك من قبل مزود خدمة الإنترنت (ملاحظة: هذا العنوان ليس عنوان IP خارجيًا صالحًا وأنا أستخدمه كمثال فقط). بالإضافة إلى ذلك، سأفترض أن هناك جهاز betty.example.com بعنوان 10.1.1.10، يخدم طلبات WWW وFTP.

احسب عدد عناوين IP الخارجية اللازمة لأجهزتك. ويجب أن يكون مساويا لعدد الأجهزة الموجودة خارج الشبكة الخاصة بالإضافة إلى عنوان IP واحد لبوابة الشبكة الخاصة. لا يتضمن هذا الرقم عناوين IP التي تستخدمها أجهزة التوجيه وعناوين بث IP وما إلى ذلك. اطلب من موفر خدمة الإنترنت أن يخصص لك نطاق عناوين IP كبيرًا بما يكفي لاستيعاب هذا العدد من الأجهزة. على سبيل المثال، على شبكة مكتبي، من بين عناوين IP الثمانية التي خصصها مزود خدمة الإنترنت، لا يمكن لأجهزة الكمبيوتر الخاصة بي استخدام ثلاثة عناوين، مما ترك أربعة عناوين IP للعمل خارج الشبكة الخاصة، بالإضافة إلى عنوان IP واحد للبوابة.

على الرغم من أن طوبولوجيا الشبكة هذه ليست مناسبة للجميع، إلا أنها تعتبر نقطة بداية معقولة للعديد من التكوينات التي لا تتطلب مهام محددة. مزايا هذا التكوين:

قابلية التوسع. إذا كنت بحاجة فجأة إلى مضاعفة عدد محطات العمل، فلا داعي للقلق بشأن الحصول على نطاق جديد من عناوين IP من مزود الخدمة الخاص بك أو إعادة تكوين واجهات الشبكة الخاصة بأجهزتك.

إدارة الشبكة المحلية. لا تتطلب إضافة محطة عمل إلى شبكتك الخاصة الاتصال بمزود خدمة الإنترنت الخاص بك، على عكس المضيفين غير الآمنين الذين يتطلبون، إذا كانوا يقدمون خدمات معينة، تصحيح سجلات DNS (خدمة اسم المجال) الأمامية والعكسية - على سبيل المثال، قد "يشتكي" ssh وftpd بشأن عدم وجود سجلات DNS الصحيحة. سجل DNS العكسي هو سجل يصف اسم المضيف من خلال عنوان IP الخاص به.

نظام أمني مركزي. يمكن لبوابة الشبكة الخاصة تصفية الحزم وتسجيل الهجمات الخارجية، مما يفرض الأمان المشترك عبر الشبكة الداخلية (الخاصة) بأكملها. وفي هذه الحالة، ليست هناك حاجة لتكوين نظام الأمان بشكل منفصل على كل محطة عمل وخادم على الشبكة الداخلية. بالإضافة إلى ذلك، يمكن تعيين عوامل التصفية ليس فقط على الحزم الواردة، ولكن أيضًا على الحزم الصادرة، بحيث لا تتمكن محطة العمل التي تم تكوينها بشكل غير صحيح من نقل البيانات غير المقصودة إلى العالم الخارجي عن غير قصد.

قابلية التنقل. نظرًا لأن عناوين IP المستخدمة على الشبكة الداخلية ستظل ملكك للمدة التي تريدها، إذا انتقلت الشبكة بأكملها إلى نطاق جديد من عناوين IP (على سبيل المثال، عند تغيير مقدمي الخدمة)، فلن تضطر إلى تغيير تكوين الشبكة الداخلية شبكة. في هذه الحالة، من الطبيعي أن تحتاج الأجهزة المضيفة غير المحمية إلى إعادة التكوين.

الوصول إلى الإنترنت بشكل شفاف. لا يزال بإمكان الأجهزة الموجودة على الشبكة الداخلية استخدام FTP وtelnet وWWW وغيرها من الخدمات، مع قيود بسيطة. قد لا يفكر المستخدمون حتى فيما إذا كانت أجهزتهم تحتوي على عنوان IP مرئي خارجيًا.

بعض العيوب المحتملة لهذا التكوين:

لن تتمكن الأجهزة الموجودة على الشبكة الداخلية من الوصول مباشرة إلى بعض الخدمات. على سبيل المثال، مزامنة NTP مع مضيف خارجي؛ بعض الخدمات التي تقدمها الخوادم التي لا تحتوي على دعم إخفاء النواة؛ إن مصادقة .shosts بواسطة مضيفين خارجيين للتسجيل أمر صعب للغاية أو مستحيل. ومع ذلك، يمكنك دائمًا العثور على حلول بسيطة.

ارتفاع تكلفة معدات الشبكة. تتطلب بوابة الشبكة الداخلية بطاقتي شبكة. كما يتطلب أيضًا محورين/محولين على الأقل، أحدهما للشبكة الداخلية والآخر للشبكة المرئية خارجيًا.

لا يمكن للأجهزة الموجودة خارج الشبكة الداخلية الاتصال مباشرة بالأجهزة الموجودة داخل الشبكة الداخلية. يمكن القيام بذلك عن طريق تسجيل الدخول أولاً إلى بوابة الشبكة الداخلية، ثم من هناك إلى جهاز الشبكة الداخلية. على الرغم من أنه من الممكن تمرير كافة الحزم في كلا الاتجاهين عبر جدار الحماية، إلا أنه لا يوصى بذلك لأسباب أمنية (انظر أدناه).

يجب عليك الموازنة بين الإيجابيات والسلبيات وتحديد ما إذا كانت الشبكة المرئية خارجيًا بالكامل هي الحل الأفضل لموقفك. بالنسبة لبقية هذا المستند، سأفترض أنه تم تكوين شبكتك كما هو موضح أعلاه. إذا كنت تفضل شبكة مرئية بالكامل من الخارج، فستكون بعض التفاصيل مختلفة. وسأحاول الإشارة إلى هذه الاختلافات.

في حالة خاصة، إذا كنت لا تحتاج إلى خوادم خارجية، فيمكن توصيل بوابة الموفر مباشرة بالواجهة الخارجية لبوابة الشبكة الداخلية، بدلاً من الاتصال بالمركز.

الحصول على اتصال

اختيار مزود

تعرف على الخدمات المقدمة وبأي سعر في منطقتك. لا يمكنك توصيل DSL في كل مكان، ولا يمكنك تثبيت اتصال لاسلكي في كل مكان نظرًا لخصائص المباني أو سطح الأرض أو البيئة. كن مستعدًا لتقديم عنوانك، نظرًا لأن سرعة DSL تعتمد بشكل كبير على المسافة، وناقش سرعة الاتصال مع مزود الخدمة الخاص بك، واكتشف المعدات المطلوبة لذلك. قد تكون فكرة جيدة تحديد عدد عناوين IP التي تحتاجها (تذكر أنه، كقاعدة عامة، لا يمكن تخصيص جميع عناوين IP من النطاق المخصص لك لأجهزة الكمبيوتر لديك). اسأل مزود الخدمة الخاص بك عن سرعة الاتصال بينهم وبين بقية العالم، حيث أن السرعة التي يتفاوضون عليها هي السرعة بينهم وبينك. إذا كانت سرعة اتصال الموفر مع بقية العالم غير كافية، فسوف تعاني بسبب ظهور "عنق الزجاجة" في شبكة الموفر.

بمجرد اتخاذ قرار بشأن قائمة المرشحين، اسأل أصدقاءك عمن يوصون بهم. اسأل عن السرعة التي يحصلون عليها عند العمل مع المواقع غير المخزنة مؤقتًا. إذا كنت بحاجة إلى اتصال سريع بين منزلك ونطاق جديد للعمل أو الإدارة عن بعد، فتأكد من تشغيل مسار تتبع من منزلك إلى مضيف الموفر. سيتيح لك هذا معرفة عدد المضيفين الموجودين بينك وبين النطاق الجديد، بالإضافة إلى زمن الوصول المتوقع. إذا تجاوز التأخير 100 - 200 مللي ثانية، فسيكون من الصعب عليك العمل من المنزل لفترة طويلة. يجب أن يكون برنامج Traceroute قيد التشغيل في الوقت المقرر للتشغيل.

التحضير لتركيب المعدات

بمجرد اختيار مقدم الخدمة والخدمات لنطاقك الجديد، تحقق من التفاصيل المتعلقة بتثبيت الأجهزة. قد تحتاج إلى الاتصال بشركة الهاتف الخاصة بك والقسم الفني لمزود الخدمة الخاص بك. سيحتاج الفنيون عادةً إلى الوصول إلى مناطق مختلفة من المبنى الخاص بك، لذا يرجى إبلاغ مسؤول صيانة المبنى.

قبل وصول الموظفين الفنيين للموفر، تحقق من معلمات الشبكة، ولا سيما عنوان IP، وقناع الشبكة الفرعية، وعنوان البث، وعنوان البوابة، وعنوان خادم DNS، بالإضافة إلى نوع الكابل المطلوب لتوصيل معدات الموفر (أي RJ45 المستقيم أو المتقاطع). كابل، الخ.).

حدد جهازًا واحدًا للاختبار، وضعه في أقرب مكان ممكن من موقع الاتصال المخطط له. إذا أمكن، قم بتعيين عنوان IP وقناع الشبكة الفرعية وإعداد الكابل قبل وصول الموظفين الفنيين. كل هذا سيساعدك على إنشاء الاتصال واختباره بسرعة.

التحقق من الاتصال

باستخدام جهاز اختبار، تأكد من إرسال الحزم بشكل طبيعي (ping) إلى مواقع خارج شبكة مزود الخدمة الخاص بك. إذا لم يكن لديك واحدًا، فحاول استخدام Traceroute لمعرفة مكان المشكلة. إذا لم يتم عرض أي قفزات، فإن المشكلة تكمن في إعداد جهاز الاختبار (المسار الافتراضي، عنوان الواجهة، برامج تشغيل الشبكة، DNS، وما إلى ذلك). إذا تم عرض انتقال واحد، فقد يعني هذا أن البوابة الخاصة بك لم يتم تكوينها بشكل صحيح. إذا تم عرض العديد من التحولات قبل الفشل، فإن المشكلة إما مع المزود أو في مكان آخر - فمن غير المرجح أن تتمكن من فعل أي شيء الآن.

استخدام عناوين IP الديناميكية

إن فائدة ربط عدة أشخاص عبر عناوين IP الثابتة وخدمات الشبكة المتنوعة تزيد التكلفة بشكل كبير. يمكن أن يكون هذا أغلى بعشر مرات من الاتصال عالي السرعة عبر DSL أو مودم الكابل. إذا لم تتمكن مؤسستك، لأسباب مالية، من شراء عنوان IP ثابت واتصال بالشبكة لكل موظف، أو كان هذا مستحيلًا من الناحية الفنية في منطقتك، فحاول إعداد مجال على عنوان IP ديناميكي. بدلاً من مجموعة من عناوين IP، ستتلقى عنوانًا يحتوي على بوابة شبكتك وجميع الخدمات الواردة التي يمكن الوصول إليها من الخارج.

أولاً ربما تريد معرفة مدى شرعية ذلك. تحظر العديد من الشركات تثبيت خوادم يمكن الوصول إليها خارجيًا على الحسابات الشخصية. يمكنهم القيام بذلك عن طريق تصفية الحزم، وحظر الاتصالات الواردة إلى منافذ HTTP وFTP. تذكر أيضًا أن سرعات الاتصال على الأجهزة الشخصية، مثل خط DSL المنزلي أو مودم الكابل، يمكن أن تختلف قليلاً. عادة ما تكون سرعة التنزيل أعلى بكثير من سرعة إرسال الحزمة. سرعة التحميل هي الأهم بالنسبة لخادم FTP أو WWW.

إذا كان لديك عنوان IP ديناميكي وتريد الحصول على اتصالات واردة، فيجب عليك الاشتراك في خدمة استضافة ديناميكية مثل DynIP أو DynHOST أو TZO أو fdns.net. تعمل جميعها باستخدام برنامج موجود على جهازك يرسل عنوان IP الحالي إلى خادم الشركة. عندما يصل رقم IP الحالي إلى خادم الشركة، يتم تحرير جدول DNS الخاص بها لمطابقة العنوان بعنوان IP. يمكنك الحصول على اسم مجال ضمن اسم المجال الخاص بهم، مثل "example.dynip.com" أو ``example.dynhost.com""، أو تسجيل المجال الخاص بك وتعيين DNS الأساسي للإشارة إلى الشركة التي تقدم الخدمة ( عادة بسعر أعلى).

هناك أيضًا خدمات استضافة مجانية. لقد ظهرت للتو، ولا أستطيع إعطاء عناوين محددة، ولكن يمكنك العثور عليها من خلال خادم البحث.

إذا قمت بتعيين عنوان IP ديناميكي واشتركت في إحدى هذه الخدمات، فستحتاج إلى الانحراف إلى حد ما عن الخطوات الموضحة في قسم الفصل. تحديد الخدمات التي سيدعمها المجال الخاص بك. إذا كنت لا تخطط لتثبيت خدمات WWW أو FTP، فمن المرجح أنك لن تحتاج إلى خدمات الشركات المذكورة أعلاه. إذا كانت خدماتهم مطلوبة، فستحتاج إلى تعيين DNS الأساسي بحيث يشير إلى خادم الشركة التي اخترت خدماتها. ليست هناك حاجة لتثبيت برنامج خفي مسمى يستجيب للطلبات الواردة من العالم الخارجي. أما التفاصيل الأخرى، مثل التعامل مع البريد الإلكتروني، فستختلف من شركة إلى أخرى ومن الأفضل أن يتم الرد عليها من قبل فريق الدعم الفني الخاص بها.

ملاحظة أخيرة: إذا كنت تريد الوصول عن بعد إلى جهاز بعنوان IP ديناميكي، ولكنك لا تحتاج إلى خدمات أخرى عليه، فإن الحل غير المكلف هو إنشاء "نقطة" على جهاز يمكن الوصول إليه بشكل عام باستخدام عنوان IP ثابت ، وسيرسل جهازك الذي له عنوان IP ديناميكي عنوانه هناك، ويكتبه في ملف قابل للتحرير. عندما تريد تسجيل الدخول إلى جهازك عن بعد، انتقل أولاً إلى الخادم حيث يرسل جهازك عنوان IP الخاص به، ثم استخدم تسجيل الدخول للاتصال بهذا العنوان. وهذا هو نفس ما تفعله الخدمات المدفوعة تقريبًا، فهي تقوم فقط بأتمتة وتبسيط بعض الخطوات.

تسجيل اسم النطاق

لكي يتمكن الأشخاص من جميع أنحاء العالم من العثور على الخوادم (www أو ftp أو البريد الإلكتروني) الخاصة بنطاقك، يتعين عليك تسجيله ليتم تضمينه في قاعدة بيانات نطاق المستوى الأعلى المناسبة.

كن حكيماً عند اختيار اسم النطاق الخاص بك. قد تكون بعض الكلمات والتعبيرات محظورة بناءً على معايير المجتمع، وقد يكون بعضها غير سار للزوار الذين تختلف لغتهم أو لغتهم العامية عن لغتك. يمكن أن تحتوي أسماء النطاقات على 26 حرفًا فقط من الأبجدية اللاتينية (بدون علامات)، وواصلة (ليست في بداية الاسم أو نهايته) و10 أرقام. لا يهم حالة الأحرف، يجب ألا يتجاوز الطول 26 حرفًا (نحن نفكر في إزالة هذا الحد). حاول ألا تسجل اسمًا يتداخل بطريقة أو بأخرى مع العلامات التجارية للشركات القائمة - فالمحاكم ليست لطيفة جدًا مع واضعي اليد على الإنترنت. يمكن العثور على بعض المعلومات حول الظروف التي قد يتم بموجبها أخذ النطاق الذي اخترته بلا مبالاة منك على: السياسة الموحدة لحل نزاعات أسماء النطاقات.

تقوم العديد من الشركات بتسجيل أسمائها ضمن نطاقات المستوى الأعلى ".com"، و".net"، و".org". القائمة الحالية - قائمة المسجلين المعتمدين.

لتسجيل اسم ضمن نطاق المستوى الأعلى لدولة، مثل ".ca، ".de"، ".uk"، ".ru"، وما إلى ذلك، اتصل بالمنظمة المناسبة التي تتعامل مع هذا. يمكن العثور على القائمة على : قاعدة بيانات نطاقات المستوى الأعلى لرمز البلد.

عادةً، ستحتاج إلى تزويد المسجل بمعلومات حول كيفية الاتصال بك، وعناوين IP لخوادم DNS الأساسية والثانوية، والموافقة على مخطط للتحقق من صحة طلب تغيير معلومات النطاق (لا تريد أن يكون أي شخص قادرة على تغييره)، ودفع رسوم سنوية. إذا لم تكن راضيًا عن نظام التأكيد الذي تستخدمه منظمة التسجيل، فأخبرهم بذلك.

تحديد الخدمات التي سيدعمها نطاقك

يقدم معظم مقدمي الخدمة نطاقًا من الخدمات لدعم نطاقات عملائهم. ويرجع ذلك أساسًا إلى حقيقة أن الحفاظ على المجال ضمن عدد من أنظمة التشغيل الشائعة لأجهزة الكمبيوتر الشخصية يمثل مشكلة كبيرة. من الأسهل بكثير تنفيذ دعم هذه الخدمات في نظام التشغيل Linux، وعلى أجهزة رخيصة إلى حد ما، لذا قرر ما ستدعمه بنفسك. وفيما يلي قائمة ببعض هذه الخدمات:

خادم DNS الأساسي للمجال الخاص بك. انظر القسم ثانية. خادم DNS الأساسي.

بريد إلكتروني. انظر قسم القسم. بريد إلكتروني.

خادم WWW. انظر القسم ثانية. خادم WWW.

خادم بروتوكول نقل الملفات. انظر القسم ثانية. خادم بروتوكول نقل الملفات.

تصفية الحزمة. انظر القسم ثانية. تصفية الحزمة.

بالنسبة لكل خدمة من الخدمات المذكورة، سيتعين عليك الاختيار بين الراحة والتحكم. إذا كان المزود متورطًا في دعم خدمة واحدة أو أكثر، كقاعدة عامة، يمكنك التأكد من أن هذا يتم بواسطة متخصصين في هذا المجال، مما يعني أنه لا داعي للقلق وإزعاج نفسك بالمعرفة غير الضرورية. من ناحية أخرى، تفقد السيطرة على هذه الخدمات - لإجراء أي تغييرات، سيتعين عليك الاتصال بالخدمة الفنية للمزود، وهو أمر غير مناسب دائمًا، بالإضافة إلى ذلك، قد يكون التأخير الزمني أطول مما تريد؛ لا يمكنك أيضًا تجاهل عامل الأمان - كقاعدة عامة، يعد مقدمو الخدمة هدفًا أكثر إغراءً للمتسللين من موقع الويب الخاص بك، نظرًا لأن خوادم مقدمي الخدمة تحتوي على بريد و/أو صفحات من عشرات الشركات العميلة. وبناءً على ذلك، فإن المتسلل الذي يخترق مثل هذا الخادم يحصل على نتيجة أكبر بكثير مما يحصل عليه عند اختراق أحد خوادمك الخاصة، والتي تحتوي على بيانات من شركة واحدة فقط.

خادم DNS الأساسي

عندما يحاول مستخدم على الشبكة الاتصال بجهاز من نطاق example.com الجديد، يتم تبادل الطلبات بين خوادم مختلفة على الإنترنت، والنتيجة هي عنوان IP الخاص بالجهاز المطلوب، وإعادته إلى برنامج المستخدم الذي قام بهذه المحاولة. إن تفاصيل تبادل الطلبات هذا تقع خارج نطاق هذه الوثيقة. بشكل مبسط، يبدو الأمر كما يلي: عند الوصول، على سبيل المثال، إلى الجهاز fred.example.com، يتم إرسال طلب إلى قاعدة بيانات مركزية لتحديد عنوان IP الخاص بالجهاز المسؤول عن دعم DNS للمجال example.com (النطاق الأساسي خادم DNS). ثم يتم إرسال طلب إلى الجهاز على هذا العنوان إلى عنوان IP الخاص بالجهاز fred.example.com.

يجب أن يكون لكل مجال خادم DNS أساسي وثانوي. يتم تخزين الأسماء وعناوين IP لكلا الخادمين في قاعدة بيانات مركزية يتم التحكم في سجلاتها بواسطة خدمات تسجيل النطاق مثل Network Solutions.

إذا قررت أن خادم DNS الأساسي سيتم خدمته بواسطة مزود خدمة الإنترنت الخاص بك، فمن المرجح أن تتم خدمة الخادم الثانوي بواسطتهم. عندما تحتاج إلى إضافة جهاز مرئي خارجيًا، سيتعين عليك الاتصال بمزود خدمة الإنترنت الخاص بك وطلب إضافة عنوان IP الخاص به إلى قاعدة البيانات.

إذا قررت أنك ستحتفظ بخادم DNS الأساسي بنفسك، فستحتاج إلى جهاز ثانٍ لخادم DNS الثانوي. من وجهة نظر فنية، فإن الخيار الأفضل هو استخدام جهاز يحتوي على اتصال إضافي (ثاني) بالإنترنت، ولكن في الممارسة العملية، غالبًا ما يتم استخدام أحد أجهزة الموفر للخادم الثانوي. في الوقت نفسه، عند إضافة جهاز مرئي من الخارج إلى الشبكة، تحتاج إلى تصحيح قاعدة البيانات الخاصة بك، ثم الانتظار حتى يتم نقل التغييرات إلى الخادم الثانوي (عادةً بضع ساعات). في هذه الحالة، يمكنك إضافة barney.example.com، على سبيل المثال، دون الاتصال بمزود خدمة الإنترنت.

إنها فكرة جيدة أن تقوم بتثبيت خادم DNS ثانوي على جهاز بعيد جغرافيًا. إذا انقطع كابل مزود الخدمة الخاص بك، فسيظل أحد الخوادم متصلاً بالشبكة وسيكون قادرًا على تقديم الطلبات. تقدم بعض خدمات تسجيل النطاق خدمات مماثلة. بالإضافة إلى ذلك، هناك خدمة مجانية - جرانيت كانيون، والتي توفر هذه الخدمة للجميع.

بغض النظر عما إذا كنت قد قررت الاحتفاظ بخادم DNS الأساسي بنفسك أم لا، اقرأ القسم. قم بإعداد تحليل الاسم، نظرًا لأنك ستظل بحاجة إلى نظام تحليل اسم لشبكتك الخاصة، حتى لو قمت بالاستعانة بمصادر خارجية لخادم DNS الأساسي لمزود خدمة الإنترنت الخاص بك.

بريد إلكتروني

عادةً ما يقوم الموفرون بتوفير صناديق البريد للعملاء. يمكنك إما استخدام هذه الخدمة (حيث يقوم المستخدمون ببساطة بالتقاط بريدهم من خادم الموفر باستخدام عملاء POP3)، أو معالجة البريد على جهازك الخاص. مرة أخرى، سيكون عليك أن تختار أهون الشرين.

إيجابيات وسلبيات استخدام خادم الموفر للعمل مع كل البريد:

قد يكون الوصول إلى بريدك الإلكتروني من المنزل أو من مواقع أخرى (أثناء رحلة عمل، على سبيل المثال) أسهل، ولكن هذا يعتمد على نظام الأمان الذي تختاره لحماية نطاقك.

يتم تخزين البريد على خادم الموفر، الأمر الذي يمكن أن يصبح مشكلة إذا تم إرسال البيانات المخصصة للاستخدام الداخلي في شكل غير مشفر.

عدد صناديق البريد محدود، وعادة ما يتعين عليك الدفع لفتح صناديق إضافية.

لفتح صندوق بريد جديد عليك الاتصال بمزود الخدمة الخاص بك.

إيجابيات وسلبيات نظام البريد الإلكتروني الخاص بك:

يتم تخزين البريد على الخادم الخاص بك. في الحالات التي يكون فيها الخادم الخاص بك معطلاً أو القرص ممتلئًا، يظل البريد على خادم الموفر.

عدد صناديق البريد غير محدود. يمكنك إنشاؤها وحذفها بنفسك.

سيتعين عليك دعم عملاء البريد الإلكتروني على شبكتك الخاصة، وربما الأشخاص الذين يرسلون البريد من المنزل.

أحد الحلول الممكنة هو الاحتفاظ بالبريد داخل الشركة، وفي نفس الوقت، وجود عدة صناديق بريد على خادم الموفر لأولئك الذين يحتاجون إلى الوصول إلى البريد الخاص بهم من خارج شبكتك الخاصة. وهذا يجعل إعداد وتنسيق نظام البريد الإلكتروني الخاص بك أكثر تعقيدًا بعض الشيء، ولكنه يوفر مرونة غير متوفرة مع أي من الخيارات المذكورة أعلاه.

إذا قررت معالجة البريد على الخادم الخاص بك، فاقرأ القسم. إعداد البريد الإلكتروني.

إذا قررت عدم معالجة البريد بنفسك، فاقرأ القسم. تكوين DNS إذا كنت لا تستخدم نقل البريد الإلكتروني.

خادم WWW

قد يوفر لك موفر خدمة الإنترنت (ISP) الخاص بك مساحة قرص على أحد خوادم WWW الخاصة به. يمكنك تحديد هذا الخيار، أو تثبيت خادم WWW على أحد الأجهزة المرئية خارجيًا والتي تحتوي على عنوان IP من النطاق المخصص لك بواسطة مزود الخدمة الخاص بك.

إيجابيات وسلبيات استخدام خادم WWW الخاص بالموفر:

مساحة القرص المخصصة لك من قبل الموفر لملفات خادم WWW محدودة. ولا يشمل محتوى الصفحات فحسب، بل يشمل أيضًا البيانات التي تم جمعها من زوار الموقع.

من المؤكد تقريبًا أن السرعة بين الخادم وبقية العالم ستكون أسرع مما لو كان الخادم موجودًا على أحد أجهزتك. على الأقل لن يكون أقل.

قد يكون من الصعب تثبيت نصوص CGI والحزم التجارية على الخادم.

من المحتمل أن تكون السرعة بين الخادم وشبكتك أقل مما لو كان الخادم موجودًا على شبكتك.

إيجابيات وسلبيات تثبيت الخادم على أحد أجهزتك:

لديك المزيد من السيطرة على الخادم. يمكنك تكوين نظام الأمان لتطبيقاتك بعناية أكبر.

تظل البيانات الخاصة، مثل أرقام بطاقات الائتمان والعناوين، على الجهاز الذي تتحكم فيه.

ربما لا تكون إستراتيجية النسخ الاحتياطي الخاصة بك شاملة مثل إستراتيجية المزود الخاص بك.

يرجى ملاحظة أنني لا أعتبر أنه من المفيد أن يكون لدى المزود معدات أكثر قوة، ولديه معدل نقل بيانات أعلى، وما إلى ذلك. بحلول الوقت الذي تبدأ فيه أهمية هذه المعلمات، سيتم وضع السرعات العالية جدًا في الاعتبار، وبصراحة، سيكون من الأفضل طلب المشورة من فني مؤهل بدلاً من Linux HOWTO.

إذا قررت تثبيت خادم WWW على جهازك، فراجع المستندات الأخرى، مثل WWW-HOWTO. أوصي بشدة، لأسباب أمنية، بتثبيت خادم WWW على جهاز منفصل، وليس على بوابة الشبكة بأي حال من الأحوال.

خادم بروتوكول نقل الملفات

بشكل عام، كل ما ينطبق على خادم WWW يمكن أيضًا أن يُنسب إلى خادم FTP، نظرًا لأن محتويات خادم FTP غير نشطة ولا توجد نصوص CGI. استندت أحدث عمليات اختراق ftpd إلى تجاوزات المخزن المؤقت الناتجة عن إنشاء أسماء أدلة طويلة على خوادم تسمح بعمليات تحميل مجهولة. لذلك، إذا كان مزود الخدمة الخاص بك يسمح لك بتحميل الملفات إلى الخادم الخاص به وكان مهملاً في تحديث نظام الأمان الخفي لـ FTP، فمن الأفضل تثبيت خادم FTP الخاص بك.

إذا قررت تثبيت خادم FTP على جهازك، فتأكد من تنزيل أحدث إصدار من برنامج FTP الخفي وقراءة الوثائق المرفقة به. مرة أخرى، أوصي بشدة بتثبيت خادم FTP على جهاز منفصل، لأسباب أمنية، على الأقل ليس على بوابة الشبكة الداخلية.

تعطيل التحميل - إلا إذا كنت بحاجة إلى تحميل الملفات بواسطة مستخدمين مجهولين.

تمكين مجهول - يمكّن المستخدمين المحليين من استخدام scp لنقل الملفات بين الأجهزة.

تمكين بجنون العظمة - تعطيل الميزات التجريبية للإصدار الحالي.

تصفية الحزمة

يقوم بعض مقدمي الخدمة بتثبيت تصفية الحزم على شبكاتهم لحماية المستخدمين من بعضهم البعض ومن المتسللين الخارجيين. واجهت شبكات مودم الكابل وشبكات البث المماثلة الأخرى المشكلة التالية: كان مستخدمو نظام التشغيل Windows 95 أو 98 يمنحون عن غير قصد حق الوصول الكامل إلى محركات الأقراص الخاصة بهم لأي شخص، لذلك كان من الممكن عرض قائمة بالخوادم النشطة على جزء من الشبكة. في بعض الأحيان كان الحل لهذه المشكلة هو طلب عدم القيام بذلك، وفي بعض الأحيان قام مقدمو الخدمة بتثبيت مرشحات الحزم، مما جعل من الممكن تجنب عواقب مشاركة بياناتهم عن غير قصد.

تصفية الحزم هو شيء يجب عليك القيام به بنفسك. فهو يتكامل بسلاسة مع جوهر بوابة شبكتك الداخلية ويساعدك على فهم ما يحدث فعليًا على شبكتك بشكل أفضل. على الأرجح، ستجد أنك بحاجة إلى تعديل جدار الحماية الخاص بك قليلاً لتحسين أدائه، وأن القيام بذلك بنفسك أسهل من الاتصال بالدعم الفني.

إذا قررت تثبيت عوامل تصفية الحزم على شبكتك، فاقرأ القسم. تكوين تصفية الحزمة.

قم بإعداد الخدمات التي تدعمها

إعداد تحليل الاسم

ستحتاج إلى اختيار الطريقة التي تشير بها أجهزة الكمبيوتر الموجودة على الشبكة إلى بعضها البعض بالاسم، وكيف يشير الأشخاص حول العالم إلى مضيفيك غير الآمنين بالاسم. هناك عدة طرق للقيام بذلك.

DNS على الشبكة الداخلية، ويدعم المجال من قبل الموفر

ملاحظة: إذا قررت عدم إنشاء شبكة داخلية (خاصة)، فانتقل إلى القسم. شبكة غير آمنة تمامًا ويدعمها الموفر. ¦

في هذه الحالة، تتم صيانة خادم DNS الأساسي للمجال الخاص بك بواسطة مزود خدمة الإنترنت. ومع ذلك، يمكنك استخدام DNS على شبكتك الداخلية عندما تتواصل أجهزة الكمبيوتر الموجودة عليها مع بعضها البعض. يتم إرسال أسماء المضيفين غير المحميين وعناوين IP الخاصة بهم إلى الموفر. إذا كنت تريد، على سبيل المثال، أن يكون المضيف betty.example.com خادم WWW وFTP، فأنت بحاجة إلى مطالبة الموفر بوضع سجلات CNAME لـ www.example.com وftp.example.com تشير إلى betty.example. .com.

قم بتكوين DNS على البوابة إلى شبكتك الداخلية. يعد هذا أمرًا جيدًا من وجهة نظر أمنية، كما أنه يبسط عملية إعادة التكوين إذا قررت نقل خادم DNS الأساسي إلى أحد أجهزتك في المستقبل.

أعتقد أن الجهاز الذي تم تثبيت خادم الأسماء عليه يسمى dns.example.com، وهو بوابة الشبكة الداخلية، وهو اسم مستعار لـ fred.example.com، وعنوان IP الخاص به هو 192.168.1.1. إذا لم يكن هذا هو الحال في حالتك، فأنت بحاجة فقط إلى إجراء تغييرات صغيرة على التكوين. لن أغطيها في هذه الطريقة إلا إذا كانت مثيرة للاهتمام بشكل خاص.

سوف تحتاج إلى تنزيل وتجميع أحدث إصدار من BIND، Berkeley Internet Name Domain. يمكن العثور عليها على موقع BIND. بعد ذلك تحتاج إلى تكوين البرنامج الخفي. قم بإنشاء ملف /etc/named.conf بالمحتوى التالي:

خيارات (
الدليل "/فار/مسمى";
استمع على(192.168.1.1);
};

منطقة "." (
اكتب تلميحًا؛
ملف "root.hints";
};

المنطقة "0.0.127.in-addr.arpa" (
اكتب سيد.
ملف "pz/127.0.0";
};

المنطقة "1.168.192.in-addr.arpa" (
اكتب سيد.
ملف "pz/1.168.192"؛
};

المنطقة "example.com" (
اكتب سيد.
لا يخطر؛
ملف "pz/example.com"؛
};

يرجى ملاحظة أننا نعلن أننا المسؤول (الرئيسي) للنطاق example.com. وفي الوقت نفسه، يعلن مزودنا أيضًا أنه المسؤول عن نفس النطاق. لن تكون هناك مشاكل إذا كنت حريصًا على الإعدادات. يجب على جميع الأجهزة الموجودة على الشبكة الداخلية الاتصال بـ dns.example.com لتحليل الاسم. ولا ينبغي لهم الاتصال بخادم الموفر، لأنه يعتبر نفسه مسؤول المجال بأكمله، لكنه لا يعرف عناوين IP أو أسماء الأجهزة من شبكتك الداخلية. وبالمثل، يجب على المضيفين غير المحميين الاتصال بخادم الموفر وليس بخادم dns.example.com الداخلي.

نحتاج الآن إلى إنشاء ملفات متنوعة في الدليل الفرعي /var/named.

الملف root.hints هو تمامًا كما هو موضح في وثائق BIND وDNS HOWTO. في وقت كتابة هذا المستند، كانت الإدخالات التالية في ملف root.hints صحيحة:

H.ROOT-Servers.NET. 6d15h26m24s في 128.63.2.53
ج.ROOT-Servers.NET. 6d15h26m24s في 192.33.4.12
G.ROOT-Servers.NET. 6d15h26m24s في 192.112.36.4
F.ROOT-Servers.NET. 6d15h26m24s في 192.5.5.241
ب.ROOT-Servers.NET. 6d15h26m24s في 128.9.0.107
J.ROOT-Servers.NET. 6d15h26m24s في 198.41.0.10
K.ROOT-SERVERS.NET. 6d15h26m24s في 193.0.14.129
L.ROOT-Servers.NET. 6d15h26m24s في 198.32.64.12
M.ROOT-Servers.NET. 6d15h26m24s في 202.12.27.33
I.ROOT-Servers.NET. 6d15h26m24s في 192.36.148.17
E.ROOT-Servers.NET. 6d15h26m24s في 192.203.230.10
د.ROOT-Servers.NET. 6d15h26m24s في 128.8.10.90
أ.ROOT-Servers.NET. 6d15h26m24s في 198.41.0.4

يبدو الملف pz/127.0.0 كما يلي:

@ في SOA example.com. root.example.com. (
1 ؛ مسلسل
8 ح؛ ينعش
2 ح؛ أعد المحاولة
1 واط؛ تنقضي
1 د) ؛ الحد الأدنى من TTL
NS dns.example.com.
1 مضيف محلي PTR.

يبدو الملف pz/1.168.192 كما يلي:

@ في SOA dns.example.com. root.dns.example.com. (
1 ؛ مسلسل
8 ح؛ تحديث 8 ساعات
2 ح؛ أعد المحاولة لمدة ساعتين
1 واط؛ تنتهي 1 أسبوع
1د؛ الحد الأدنى 1 يوم
NS dns.example.com.

1 بي تي آر fred.example.com.
PTR dns.example.com.
PTR mail.example.com.
2 بارني.example.com.
3 بي تي آر wilma.example.com.

وهكذا، سجل PTR واحد لكل جهاز من الشبكة الداخلية. في هذا المثال، fred.example.com له عنوان IP هو 192.168.1.1 ويتم الإشارة إليه بواسطة الأسماء المستعارة dns.example.com وmail.example.com. يحتوي الجهاز barney.example.com على عنوان IP وهو 192.168.1.2 وما إلى ذلك. يبدو ملف pz/example.com كما يلي:

@ في SOA example.com. root.dns.example.com. (
1 ؛ مسلسل
8 ح؛ تحديث 8 ساعات
2 ح؛ أعد المحاولة لمدة ساعتين
1 واط؛ تنتهي 1 أسبوع
1د؛ الحد الأدنى 1 يوم
NS dns.example.com.
في 192.168.1.1
في MX 10 mail.example.com.
في ام اكس 20 .

المضيف المحلي أ 127.0.0.1
فريد أ 192.168.1.1
أ 10.1.1.9
DNS CNAME فريد
البريد CNAME فريد
بارني أ 192.168.1.2
ويلما أ 192.168.1.3
بيتي أ 10.1.1.10
شبكة الاتصالات العالمية CNAME بيتي
بروتوكول نقل الملفات CNAME بيتي

لاحظ أننا نقوم بإنشاء إدخالات لكلا الجهازين الموجودين على الشبكة الداخلية والأجهزة من خارج الشبكة، نظرًا لأن الأجهزة الموجودة على الشبكة الداخلية لن تتصل بخادم أسماء مزود خدمة الإنترنت للاستعلام، على سبيل المثال، عن عنوان IP الخاص بالجهاز betty.example.com . بالنسبة لجهاز فريد، نحدد عناوين IP الخارجية والداخلية. يتطلب سطر واحد من قسم "الخيارات" في /etc/named.conf تعليقًا:

استمع على(192.168.1.1);

فهو يوجه خادم الاسم الخاص بك إلى عدم الرد على استعلامات DNS من العالم الخارجي (يجب تقديم جميع هذه الاستعلامات بواسطة خادم مزود خدمة الإنترنت، وليس خادمك).

تحليل اسم غير DNS على الشبكة الداخلية، المجال مدعوم من قبل الموفر

ملاحظة: إذا قررت عدم إنشاء شبكة داخلية، فانتقل إلى القسم. شبكة غير آمنة تمامًا ويدعمها الموفر. ¦

إذا قررت استخدام هذا التكوين، فقد قررت أن شبكتك الداخلية صغيرة جدًا ولن تتغير كثيرًا. لقد قررت عدم استخدام قاعدة بيانات خادم DNS مركزية، ولكن بدلاً من ذلك الحفاظ على دقة الاسم على أساس كل جهاز. يجب على جميع الأجهزة الاتصال بخادم DNS الخاص بمزود خدمة الإنترنت لحل أسماء الأجهزة خارج الشبكة الداخلية. لحل أسماء الشبكات الداخلية، تحتاج إلى إنشاء جدول مضيف. بالنسبة لنظام التشغيل Linux، يعني هذا إدخال الأسماء وعناوين IP في الملف /etc/hosts على كل جهاز. في كل مرة يتم فيها تغيير عنوان IP أو إضافة جهاز جديد إلى الشبكة، يجب تحديث هذا الملف على كل جهاز.

كما في القسم ثانية. يجب نقل DNS الموجود على الشبكة الداخلية، والمجال الذي يحتفظ به مزود خدمة الإنترنت، وقوائم أسماء المضيفين وعناوين IP للمضيفين الخارجيين، بالإضافة إلى جميع الأسماء المستعارة (مثل أسماء خوادم ftp وwww) إلى مزود خدمة الإنترنت.

أنت تحافظ بشكل كامل على DNS للمجال الخاص بك بنفسك

لن أفكر في حالة استخدام الاسم لحل أسماء المضيفين المحميين وقاعدة بيانات منفصلة لكل جهاز في الشبكة الداخلية، على الرغم من إمكانية تنفيذ ذلك. إذا كنت ستستخدم name لشبكة خارجية أو داخلية، فلماذا لا تفعل ذلك لكليهما، فقط لتبسيط التكوين. في هذا القسم، سأفترض أن بوابة الشبكة الداخلية تتعامل مع تحليل الأسماء لكل من الشبكتين الخارجية والداخلية.

نحتاج إلى التصرف بشكل مختلف اعتمادًا على ما إذا كان الطلب يأتي من الخارج (وفي هذه الحالة، لا ينبغي لنا إرسال عناوين IP الخاصة بالأجهزة الموجودة على الشبكة الداخلية)، أو من الشبكة الداخلية. في وقت كتابة هذا المستند، كان هناك إصدار حزمة BIND 8.2.2، والذي يمكن من خلاله إصدار هذا السلوك فقط عن طريق تشغيل برنامجين خفيين مسميين بتكوينات مختلفة. ومع ذلك، هناك نقاش نشط حول إدخال كلمة رئيسية جديدة "عروض"، والتي يمكن إضافتها إلى BIND لهذا الغرض. في الوقت الحالي، علينا أن نكون راضين عن الحل المقترح.

أولاً، قم بإعداد خادم أسماء للشبكة الداخلية، كما هو موضح في القسم. DNS على الشبكة الداخلية، ويدعم المجال من قبل الموفر.

بعد ذلك، تحتاج إلى تكوين DNS للمجال بحيث يكون مرئيًا لبقية العالم. اتصل بمزود الخدمة الخاص بك واكتشف ما إذا كان يفوضك بمعالجة طلبات البحث العكسي. على الرغم من أن معيار DNS لم يتناول في البداية إمكانية تقديم عمليات بحث عكسية على شبكات فرعية أصغر من شبكات الفئة C، فقد تم تطوير حل بديل لاحقًا يعمل مع جميع عملاء DNS المتوافقين مع المعايير وهو منصوص عليه في RFC 2317. إذا كان مزود خدمة الإنترنت الخاص بك ينوي تفويض التحكم من عمليات البحث العكسي لك، DNS لنطاق عنوان IP الخاص بك، فسوف تحتاج إلى معرفة الاسم الدقيق للنطاق الزائف الذي اختاروه للتفويض (لا يوفر RFC اصطلاحات للاستخدام اليومي). سأفترض أن مزود خدمة الإنترنت قد فوض لك التحكم وأن اسم المجال الزائف هو 8.1.1.10.in-addr.arpa. سيتعين على الموفر إجراء إدخالات مثل

8.1.1.10.in-addr.arpa. 2H في CNAME 8.8.1.1.10.in-addr.arpa.
9.1.1.10.in-addr.arpa. 2H في CNAME 9.8.1.1.10.in-addr.arpa.
10.1.1.10.in-addr.arpa. 2H في CNAME 10.8.1.1.10.in-addr.arpa.
إلخ.

إلى ملف المنطقة الخاص بك للمجال 1.1.10.in-addr.arpa. سيتم عرض تكوين ملف المنطقة الخاص بك 8.1.1.10.in-addr.arpa في هذا القسم أدناه. إذا كان مزود خدمة الإنترنت الخاص بك سيفوضك التحكم في DNS العكسي، فسوف يضع سجلات CNAME في جدول منطقة DNS العكسي الخاص به والذي يشير إلى السجلات المقابلة في المجال الزائف الخاص بك، كما هو موضح أعلاه. إذا لم يكن يريد تفويض التحكم إليك، فسيتعين عليك أن تطلب منه تحديث سجلات المنطقة العكسية في كل مرة تقوم فيها بإضافة أو حذف أو تغيير اسم جهاز مرئي خارجيًا في مجالك. إذا كانت بيانات جدول DNS العكسي لا تتطابق مع بيانات جدول DNS المباشر، فقد تصدر خدمات معينة تحذيرات أو ترفض العمل مع الأجهزة التي يوجد بها تناقض.

الآن قم بإنشاء تكوين لاسم ثانٍ يستجيب للطلبات الواردة من الأجهزة خارج الشبكة الداخلية. ما عليك سوى إدراج هؤلاء المضيفين وعناوين IP المرئية من الخارج. سيتم إرسال الردود فقط على الطلبات الواردة إلى الواجهة الخارجية للبوابة.

قم أولاً بإنشاء ملف تكوين ثانٍ، على سبيل المثال /etc/named.ext.conf. وفي حالتنا سيكون الأمر هكذا:

خيارات (
الدليل "/فار/مسمى";
الاستماع ( 10.1.1.9; );
};

منطقة "." (
اكتب تلميحًا؛
ملف "root.hints";
};

المنطقة "0.0.127.in-addr.arpa" (
اكتب سيد.
ملف "pz/127.0.0";
};

المنطقة "8.1.1.10.in-addr.arpa" (
اكتب سيد.
ملف "ext/8.1.1.10";
};

المنطقة "example.com" (
اكتب سيد.
لا يخطر؛
ملف "ext/example.com"؛
};

يتم استخدام الملفين root.hints وpz/127.0.0، وكلاهما من الدليل /var/named، بواسطة كلا البرنامجين. يبدو الملف ext/8.1.1.10 كما يلي:

@ في SOA fred.example.com. root.fred.example.com. (
1 ؛ مسلسل
10800 ؛ تحديث 3 ساعات
3600 ؛ أعد المحاولة لمدة ساعة واحدة
3600000; تنتهي 1000 ساعة
86400)؛ الحد الأدنى 24 ساعة
NS dns.example.com.
9 في PTR fred.example.com.
PTR dns.example.com.
PTR mail.example.com.
10 في PTR betty.example.com.
بي تي آر www.example.com.
PTR ftp.example.com.

يحتوي الملف ext/example.com على ما يلي:

@ في SOA example.com. root.fred.example.com. (
10021 ; مسلسل
8 ح؛ تحديث 8 ساعات
2 ح؛ أعد المحاولة لمدة ساعتين
1 واط؛ تنتهي 1 أسبوع
1د؛ الحد الأدنى 1 يوم
NS fred.example.com.
في 10.1.1.9
في MX 10 mail.example.com.
في ام اكس 20 .

المضيف المحلي أ 127.0.0.1
فريد أ 10.1.1.9
بيتي أ 10.1.1.10
DNS CNAME فريد
البريد CNAME فريد
شبكة الاتصالات العالمية CNAME بيتي
بروتوكول نقل الملفات CNAME بيتي

قم بتشغيل كلا البرنامجين على الجهاز الذي يمثل بوابة الشبكة الداخلية. أضف الأسطر التالية إلى البرامج النصية لتهيئة البرنامج الخفي للشبكة:

/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.conf
/usr/sbin/named -u dnsuser -g dnsgroup /etc/named.ext.conf

افترضت أنك قمت بإنشاء مستخدم محدود "dnsuser" ومجموعة مقابلة "dnsgroup". إذا كان هناك خطأ في الربط يسمح للمتسلل بتشغيل تعليمات برمجية من الاسم، فسيجد أنه لا يمكنه فعل سوى ما يمكن لمستخدم لا يتمتع بالامتياز أن يفعله. يجب ألا يكون الدليل /var/named والملفات الموجودة فيه قابلة للكتابة بواسطة مستخدم "dnsuser". ويجب تهيئة الأجهزة الموجودة على الشبكة الداخلية للعمل مع dns.example.com (في مثالنا الذي يحتوي على عنوان IP IP 192.168.1.1). )، بينما يمكن للأجهزة المرئية خارجيًا إرسال الطلبات إلى الواجهة الخارجية لبوابة الشبكة الداخلية (في مثالنا، عنوان IP 10.1.1.9) وإلى خادم DNS الخاص بالموفر.

شبكة مدعومة من مزود خدمة الإنترنت (ISP) غير آمنة تمامًا

في هذا التكوين، تكون كافة الأجهزة المضيفة مرئية من الخارج. كل جهاز مجال لديه عنوان IP حقيقي. يمكنك تزويد الموفر بقائمة عناوين IP للجهاز وأسمائها. يمنحك الموفر عنوانًا واحدًا على الأقل من خوادم DNS الخاصة به. يتم إعداد تحليل الاسم في Linux في الملف /etc/resolv.conf:

ابحث في example.com
اسم الخادم
اسم الخادم

يتم تكوين أجهزة Windows بطريقة مماثلة من خلال مربعات حوار إعدادات الشبكة.

تحضير DNS قبل نقل النطاق

إذا قررت لأي سبب من الأسباب (على سبيل المثال، تغيير مزود الخدمة الخاص بك) نقل المجال الخاص بك إلى عنوان IP جديد، فيجب عليك الاستعداد لذلك قبل النقل.

ربما ترغب في أن تكون قادرًا على إعادة تكوين DNS على الفور من العناوين القديمة إلى العناوين الجديدة بعد تغيير عنوان IP الخاص بك. واحسرتاه. تقوم الأنظمة البعيدة بتخزين عناوين IP الخاصة بك مؤقتًا، لذا ستعيد الطلبات اللاحقة عناوينك القديمة بدلاً من الاستعلام عن الخوادم المقابلة. ونتيجة لذلك، لن يتمكن أولئك الذين كانوا يعملون مع موقعك في وقت تغيير عناوين IP من الاتصال، على الرغم من أن الزوار الجدد سيعملون بشكل طبيعي، حيث أنهم وحدهم من سيحصلون على البيانات الصحيحة غير المخزنة مؤقتًا. بالإضافة إلى ذلك، يتم تحديث الخوادم الأساسية مرتين فقط يوميًا، لذلك من الصعب تحديد الوقت الدقيق الذي سيتم فيه تحديث الروابط إلى خوادم DNS الأساسية والثانوية.

أسهل طريقة للانتقال إلى عناوين IP الجديدة هي نسخ موقعك، على الأقل الجزء المرئي منه، إلى عناوين IP الجديدة، ثم الانتظار حتى تنتقل حركة المرور بالكامل إلى هناك. على الرغم من أن هذه الطريقة ليست عملية للغاية.

أول ما عليك فعله هو التفاوض مع مزود خدمة الإنترنت الجديد (أو مزودك الحالي إذا كنت تقوم فقط بتغيير عناوين IP) لتحديث الروابط إلى خوادم DNS الأساسية والثانوية. يجب أن يتم ذلك قبل يوم واحد على الأقل من التحرك. اطلب منه ضبط وقت البقاء (TTL) لهذا السجل على مسافة صغيرة جدًا (5 دقائق، وعادةً ما يتم ضبط هذه القيمة على 86400 ثانية (يوم واحد)).

وبعد مرور يوم، قم بتعيين عنوان IP جديد لجهازك. قم بمزامنة هذا مع سجلات DNS الخاصة بمزود خدمة الإنترنت الخاص بك. وإرجاع TTL إلى قيمته السابقة.

ينبغي توجيه الخوادم الأساسية وخوادم DNS الجديدة إلى عنوان IP الحقيقي لموقعك، مع TTL صغير.

لاحظ أنه لا يمكنك تسريع هذه العملية عن طريق تقليل قيمة TTL لنطاقك الحالي إلا إذا قمت بذلك قبل N ساعة على الأقل من النقل. الآن، أنت جاهز للتحرك. انقل الأجهزة إلى عناوين IP جديدة وادمج هذا مع تحديث سجلات DNS الخاصة بمزود خدمة الإنترنت. بعد 5 دقائق (إذا تم ضبط TTL صغير، قبل التحرك)، يجب تحويل حركة المرور إلى الموقع الجديد. يمكنك الآن إعادة بناء سلطة DNS حسب رغبتك، وإنشاء خادم أساسي إذا كنت تريد ذلك، وإعادة ضبط TTL على قيمة عالية.

تكوين DNS إذا كنت لا تستخدم نقل البريد الإلكتروني

التكوين الموصوف في القسم. يحتوي إعداد دقة الاسم على سجلات MX تشير إلى الجهاز ``mail.example.com"". يقوم سجل MX، ذو الأولوية الأدنى، بإخبار الخوادم البعيدة بمكان إرسال رسائل البريد الإلكتروني. يتم استخدام سجلات MX الأخرى ذات الأولوية الأعلى كمستقبلات احتياطية لرسائل البريد الإلكتروني. سيحتفظون برسائل البريد الإلكتروني لفترة من الوقت حتى يتعذر على المستلم الأساسي لرسائل البريد الإلكتروني معالجتها لسبب ما. على سبيل المثال، ضع في اعتبارك أنه تحت الاسم المستعار fred.example.com، يقوم mail.example.com بمعالجة رسائل البريد الإلكتروني الخاصة بالمجال. إذا كنت تريد السماح لمزود خدمة الإنترنت (ISP) بالوصول إلى جميع عناوين البريد الإلكتروني التي تقوم بتشغيلها، فيجب عليك تغيير سجلات MX للإشارة إلى أجهزة مزود خدمة الإنترنت (ISP) المناسبة. اسأل الدعم الفني لمزود خدمة الإنترنت لديك عن أسماء المضيفين التي يمكن استخدامها في سجلات MX.

إعداد البريد الإلكتروني

إذا قررت رفع البريد الإلكتروني لنطاقك، فستحتاج إلى اتخاذ عدة خطوات لإعداده. إذا لم يتم إجراء الإعدادات بعناية، فمن المحتمل أن تصل الرسائل ببطء شديد، لأن... سيكون موجودا على مضيف واحد، في حين يتم تسجيل المستلم على آخر. لأسباب أمنية، أوصي بتصفية البريد الوارد من الأجهزة التي يمكن الوصول إليها من الشبكة الخارجية (سيساعد هذا في مكافحة أولئك الذين يريدون أن يكون لجهاز سطح المكتب الخاص بهم عنوان IP حقيقي ثم يتساءلون عن سبب تجميد أجهزتهم مرتين في اليوم). تم حل مشكلة استخدام نظام إعادة توجيه البريد الإلكتروني بالكامل بمساعدة sendmail. إذا كان أي شخص يرغب في مشاركة حل يعمل على نقل بريد إلكتروني آخر، فأنا أرحب بالمساهمات.

الحل يعتمد على استخدام "sendmail"

للتأكد من أن عنوان البريد الإلكتروني المسجل على مضيف واحد مرئي على جميع الأجهزة، فإن الحل الأبسط هو تصدير دليل البريد، مع حقوق الكتابة والقراءة، عبر الشبكة الخاصة. ستعمل بوابة الشبكة الخاصة بك كمجمع ومرسل لرسائل البريد الإلكتروني للشبكة الخاصة بأكملها، والتي يجب أن تتمتع بأذونات الكتابة إلى دليل البريد كجذر، وقد يكون لدى العملاء الآخرين مثل هذه الحقوق أو لا، وفقًا لتقديرك الشخصي. لا ينبغي منح الامتيازات ما لم يكن هناك سبب واضح للقيام بذلك، ولهذا السبب، على شبكتي، يمكن للجذر قراءة البريد من جهاز معين فقط، ولكن هذا ليس مشكلة كبيرة الدليل الموجود على الشبكة الذي يتم تصديره عبر NFS، أو يمكن أن يكون دليلاً على أحد الخوادم الداخلية، ويتم تصديره إلى شبكة خاصة. إذا كان دليل البريد موجودًا على بوابة الشبكة الخاصة، فلن تكون هناك مشاكل في الحقوق لهذا الجهاز، إذا كان موجودًا على خادم آخر، انتبه إلى أنه سيتم إرجاع رسائل البريد الإلكتروني في حالة وجود مشكلة في هذا الخادم أو البوابة أو اتصال الشبكة.

بالنسبة لأجهزة Windows الموجودة على شبكتك الخاصة، يمكنك أيضًا تثبيت خادم POP على مضيف البريد، أو استخدام samba لتصدير البريد إلى تلك الأجهزة. يمكن تكوين أجهزة Windows لإرسال واستقبال البريد تحت اسم مستخدم Linux، مثل [البريد الإلكتروني محمي]بحيث يحتوي العنوان على اسم المضيف واسم المجال، وليس اسم جهاز مثل barney.example.com. يجب تثبيت خادم SMTP على جهاز البوابة الخاص بالشبكة الخاصة، والذي سيكون مسؤولاً عن إرسال البريد وإعادة توجيهه.

يجب عليك بعد ذلك تكوين sendmail لإرسال البريد من الأجهزة الموجودة على الشبكة الخاصة، وإعادة كتابة العناوين إذا لزم الأمر. احصل على أحدث مصدر لبريد الإرسال من sendmail.org. قم بإنشائه، ثم انتقل إلى الدليل الفرعي cf/domain في الدليل باستخدام sendmail وقم بإنشاء ملف جديد: example.com.m4

تحويل(-1)
#


# حقوق النشر (ج) 1988، 1993

#
# باستخدام هذا الملف فإنك توافق على جميع الشروط المذكورة

# ارسل بريد.
#
#

#
# يوجد أدناه ملف تكوين المجال العالمي. يجب أن يصلح
# لنظامك إذا كنت تريد إعادة تكوينه، قم بنسخه إلى ملف
# للمجال الخاص بك أو قم بإجراء تغييرات، ثم انسخ المناسب
# ملفات .mc وقم بتغيير `DOMAIN(generic)" للإشارة إلى الملفات المعدلة
# ملفات.
#
تحويل(0)
تعريف(`confFORWARD_PATH", `$z/.forward.$w+$h:$z/.forward+$h:$z/.forward.$w:$z/.forward")dnl
الميزة (إعادة التوجيه) dnl
MASQUERADE_AS(example.com)dnl
الميزة (masquerade_envelope)dnl

يحدد هذا الملف المجال ``example.com"". بعد ذلك، يجب عليك إنشاء ملفات sendmail.cf التي سيتم استخدامها على مضيف البريد (بوابة الشبكة الخاصة) وعلى مضيفي Linux الآخرين على الشبكة الخاصة.

قم بإنشاء الملف التالي في الدليل الفرعي sendmail cf/cf: example.master.m4

تحويل(-1)
#
# حقوق الطبع والنشر (ج) لعام 1998 لشركة Sendmail, Inc. كل الحقوق محفوظة.
# حقوق الطبع والنشر (ج) 1983 لإريك بي ألمان. كل الحقوق محفوظة.
# حقوق النشر (ج) 1988، 1993
#أوصياء جامعة كاليفورنيا. كل الحقوق محفوظة.
#

# في ملف الترخيص الذي يأتي مع التوزيع
# ارسل بريد.
#
#

#
# هذا ملف تكوين نموذجي يدعم الملف الرئيسي فقط
# بروتوكول SMTP عبر TCP.
#
# يجب عليك تغيير الماكرو `OSTYPE' اعتمادًا على نظام التشغيل لديك
# الذي سيعمل معه هذا الملف؛ في هذا الملف سوف تقوم بتعيين الموقع
# ملفات دعم متنوعة لنظام التشغيل الخاص بك. يمكنك إنشاء ملف المجال في
# ../domain وقم بالإشارة إليه عن طريق إضافة الماكرو `DOMAIN' بعد ذلك
# أوامر الماكرو `OSTYPE'. أوصي بنسخ هذا الملف
# تحت اسم مختلف حتى لا تضطر إلى تحديث إصدار sendmail
# أكتبه مرة ثانية.
#

تحويل (0) دنل
OSTYPE(لينكس)dnl
المجال (example.com)dnl
ميزة (نوكب)
الميزة (relay_entire_domain)
الميزة ("virtusertable"، "hash /etc/sendmail/virtusertable")dnl
الميزة ("genericstable"، "hash /etc/sendmail/genericstable")dnl
تعريف(`confPRIVACY_FLAGS", ``noexpn,novrfy"")dnl
ميلر (محلي)
الارسال (سمتب)
CW fred.example.com
سو example.com

في هذا المثال، قمنا بحظر الأمرين ``expn'' و``vrfy''. لأن باستخدام ``expn''، يمكن للمهاجم الكتابة من الأسماء المستعارة، وتجربة أسماء مثل ``staff''، ``allstaff''، ``office''، وما إلى ذلك، حتى يتم إعطاؤه العديد من أسماء المستخدمين التي يمكنه بعد ذلك تجربتها لتخمين كلمات المرور. كيفية تمكين تسجيل الدخول إلى شبكتك فقط من الأجهزة المضمنة فيها موضحة في القسم. أمن المجال الخاص بك. ملف آخر يجب عليك إنشاؤه سيحدد sendmail.cf للأجهزة التابعة: example.slave.m4

تحويل(-1)
#
# حقوق الطبع والنشر (ج) لعام 1998 لشركة Sendmail, Inc. كل الحقوق محفوظة.
# حقوق الطبع والنشر (ج) 1983 لإريك بي ألمان. كل الحقوق محفوظة.
# حقوق النشر (ج) 1988، 1993
#أوصياء جامعة كاليفورنيا. كل الحقوق محفوظة.
#
# باستخدام هذا الملف، فإنك توافق على جميع الشروط المذكورة
# في ملف الترخيص الذي يأتي مع التوزيع
# ارسل بريد.
#
#

#
# هذا نموذج أولي لـ "العميل الفارغ" - أي. العميل الذي ليس كذلك
# لا يفعل شيئًا سوى إرسال كل البريد إلى خادم البريد. في مثل هذا
# هذا الملف غير صالح للاستخدام !!!

#
# لاستخدامه يجب عليك استخدام خاصية nullclient مع
# اسم خادم البريد كوسيطة. تحديد أيضا
# `OSTYPE" لتحديد قائمة انتظار الدليل، وما إلى ذلك.
# بالإضافة إلى ذلك، حدد خاصية nocanonify. هذا سيساعد
# إرسال العناوين عبر اتصال SMTP؛ وعادة ما يتم إرسالهم باسم بديل،
# الذي يتم إنتاجه بواسطة خادم البريد افتراضيًا.
#
# يجب ألا يحتوي هذا الملف على أي أسطر غير تلك المذكورة أعلاه.
#

أوستايب (لينكس)
الميزة (nullclient, fred.$m)
انظر example.com

قم بإنشاء ملفات sendmail.cf المناسبة باستخدام الأمر:

اصنع example.master.cf example.slave.cf

ثم قم بنسخه إلى الأجهزة المناسبة تحت اسم sendmail.cf. يضع هذا التكوين معظم ملفات التكوين في الدليل الفرعي /etc/sendmail/. فهو يفرض على sendmail تحليل واستخدام ملفين خاصين، Virtusertable.db وgenericstable.db. للحصول على هذه الملفات، قم بإنشاء النماذج الأولية الخاصة بها. الأول هو Virtusertable.src:

[البريد الإلكتروني محمي] com.jpublic
[البريد الإلكتروني محمي] [البريد الإلكتروني محمي]
[البريد الإلكتروني محمي]جذر
[البريد الإلكتروني محمي]#phb#@hotmail.com

هذه خريطة لعناوين البريد الإلكتروني للبريد الوارد. البريد المرسل إلى [البريد الإلكتروني محمي]ستتم إعادة توجيهه إلى jpublic على نظام Linux المحلي. البريد المرسل إلى [البريد الإلكتروني محمي]، ستتم إعادة توجيهك إلى عنوان آخر، ربما إلى مجال مختلف. البريد المرسل إلى [البريد الإلكتروني محمي]، سيتم إعادة توجيهه إلى الجذر. ملف آخر هو genericstable.src: jpublic [البريد الإلكتروني محمي]
جين دو [البريد الإلكتروني محمي]
whgiii [البريد الإلكتروني محمي]

هذا الملف مسؤول عن عناوين مرسل البريد على النظام المحلي. قد لا يؤثر هذا على عنوان المرسل للبريد المرسل مباشرة منه [البريد الإلكتروني محمي]، سيسمح لك هذا بإعادة كتابة عنوان البريد الإلكتروني للمرسل لأي شخص على الإطلاق. أخيرًا، قم بإنشاء ملف Makefile التالي في /etc/sendmail/: all: genericstable.db virtusertable.db

Virtusertable.db: Virtusertable.src
makemap التجزئة Virtusertable< virtusertable.src

genericstable.db: genericstable.src
تجزئة makemap genericstable< genericstable.src

قم بتشغيل make لإنشاء ملفات مجزأة يمكن أن يستخدمها sendmail، وتأكد من إعادة تشغيل make وإعادة تشغيل sendmail بعد إجراء أي تغييرات على هذه الملفات ``.src"".

حل يعتمد على استخدام وسائل نقل البريد الإلكتروني الأخرى

ليس لدي سوى خبرة مع sendmail. إذا كانت لديك خبرة في وسائل نقل البريد الأخرى، مثل Postfix أو Exim أو smail، وترغب في الإضافة إلى هذا القسم، فيرجى الاتصال بي.

إعداد خادم www

يجب عليك تثبيت خادم مرئي خارجيًا على جهاز خارج الشبكة الخاصة، وليس على جهاز بوابة الشبكة الخاصة، وذلك لأسباب أمنية. إذا كان الخادم يحتاج إلى الوصول إلى بعض الموارد الموجودة داخل الشبكة الخاصة، يصبح الوضع أكثر تعقيدًا. لن تجد وصفًا لمثل هذه الحالات في هذا المستند.

يمكن العثور على تفاصيل حول تثبيت الخادم نفسه في وثائق Apache وفي مستند Linux WWW HOWTO.

إعداد خادم FTP

مرة أخرى، يجب أن يكون مضيف FTP مرئيًا من الشبكة الخارجية، ولا تقم بتثبيت خادم FTP على بوابة شبكة خاصة. اقرأ دليل التثبيت الذي يأتي مع خادم FTP. تأكد من أنك تستخدم أحدث إصدار من الخادم لأنه... تحتوي الإصدارات القديمة من العديد من خوادم FTP على ثغرات أمنية. إذا كنت لا تحتاج إلى تسجيل دخول مجهول إلى خادم FTP، فتأكد من تعطيل هذه الميزة في التكوين الخاص بك. أوصي بإجبار المستخدمين على استخدام scp، فهذا سيسمح لهم بعمل نسخ احتياطية لجميع الملفات التي تتغير. يمكن العثور على مزيد من المعلومات التفصيلية في القسم. أمن المجال الخاص بك.

تكوين تصفية الحزمة

تمت مناقشة هذا في القسم. تكوين جدار الحماية الخاص بك.

أمن المجال الخاص بك

يصف هذا القسم إعداد الأمان لنطاقك الجديد. ينصب التركيز على الميزات المخفية عن المستخدم. إذا كانت الحماية متطفلة للغاية أو تتداخل مع عمل المستخدمين، فمن المؤكد أنهم سيجدون طريقة لكسر الحماية أو حتى تعريض عمل النطاق بأكمله للخطر. أفضل طريقة لتجنب ذلك هي جعل أمانك شفافًا قدر الإمكان، وكذلك تشجيع المستخدمين على الإشارة إلى نقاط الضعف في نطاقك. أعلم من تجربتي الشخصية أنه إذا قمت ببناء سياسة أمنية صارمة للغاية، فسيجد المستخدمون طريقة للتحايل عليها. من الأفضل أن يتم تبرير جميع الاتصالات عن بعد والموافقة عليها شخصيًا.

يصف هذا القسم كيفية حماية نفسك من الهجمات من الخارج، وكيفية حماية نفسك من الأخطاء العرضية داخل شبكتك. يعد توفير الحماية ضد الهجمات من الداخل مهمة أكثر تعقيدًا ولا يتم تناولها في هذه الوثيقة.

أحد مجالات الحماية التي تمت مناقشتها في هذا القسم هو ما يسمى بالحماية ضد "جهاز توجيه العدو". قد يكون جهاز التوجيه الذي يوفره موفر خدمة الإنترنت الخاص بك قابلاً للتكوين عن بعد، أو، على سبيل المثال، أثناء الاختبار، ربما نسي متخصصو الخدمة الفنية إزالة بعض كلمات مرور الاختبار. كلاهما يضر بأمان مزود خدمة الإنترنت، وإذا تم اختراق مزود خدمة الإنترنت، فيمكن للمتسللين أيضًا استهداف الشبكة الفرعية، لذلك يجب عليك التعامل مع جهاز توجيه مزود خدمة الإنترنت على أنه من المحتمل أن يكون عدائيًا إن أمكن. لأن وبخلاف ذلك، سيتمكن المتسللون من استخدام أي عنوان IP لشبكتك الفرعية الخارجية أو الداخلية، وسيسمح لهم ذلك بإعادة توجيه كل حركة المرور المارة والحزم الصادرة.

تكوين جدار الحماية الخاص بك

يشرح هذا القسم كيفية تكوين تصفية التنكر وإعادة التوجيه والتوجيه. من المستحسن أن تقرأ IPCHAINS-HOWTO أولاً قبل قراءة النصائح أدناه. توضح هذه الطريقة بالتفصيل خطوات تجميع النواة بدعم متنكر واستخدام ثنائيات ipchains. يجب عليك تمكين جدار الحماية على كافة الأجهزة التي لها عنوان IP.

تحقق من البرامج النصية للتمهيد لديك للتأكد من تشغيل البوابة بالتسلسل التالي:

تهيئة بطاقة إيثرنت.

جدار الحماية يعمل من خلال ipchains.

شامل الشحن.

يتم إطلاق شياطين الشبكة.

لذا، على سبيل المثال، لنأخذ نظام Slackware؛ حيث يحدث تكوين جدار الحماية فيه بين rc.inet1 وrc.inet2. بعد ذلك، في حالة حدوث أي مشكلات أثناء التكوين، سيتم عرض تحذير وسيتم تعطيل بطاقة Ethernet قبل تحميل برامج الشبكة.

إحدى المشكلات الشائعة المتعلقة بجدران الحماية هي التأكد من تعيين أذوناتك بشكل صحيح للحزم القادمة من الأجهزة الداخلية أو الخارجية إلى جدار الحماية. قد يتم حظر الحزم المحلية بواسطة جدار الحماية. لا يمكن التحقق من كل هذا إلا أثناء عملية التصحيح، مما يرفع إعدادات جدار الحماية إلى المستوى الذي تعمل فيه جميع مكونات النظام. ولسوء الحظ، يؤدي هذا في بعض الأحيان إلى ثغرات في الدفاع. يوجد أدناه برنامج نصي نموذجي يسمح لك بتجنب العديد من المشكلات عند إعداد جدار الحماية. هذا مثال على البرنامج النصي، /sbin/firewall.sh:

#! / بن / ش
#
# يستخدم هذا البرنامج النصي سلاسل IP. إنشاء تصفية باستخدام تنكر الشبكة.
#

# تحديد عدة متغيرات

IPCHAINS=/sbin/ipchains

LOCALNET="192.168.1.0/24" # شبكة خاصة
ETHINSIDE="192.168.1.1" # رقم IP الداخلي لـ fred.example.com
ETHOUTSIDE="10.1.1.9" # رقم IP الخارجي لـ fred.example.com
الاسترجاع = "127.0.0.1/8"
في أي مكان = "0/0"
OUTSIDEIF=eth1 # الواجهة الداخلية لـ fred.example.com

FORWARD_PROCENTRY=/proc/sys/net/ipv4/ip_forward

#
# سيرجع هذان الأمران رموز الخطأ التي تحدث عندما
# إذا كانت الأذونات موجودة بالفعل (يحدث هذا الموقف إذا قمت بتشغيل
# البرنامج النصي أكثر من مرة). نضع هذه الأوامر قبل "set -e"
# بحيث لا ينقطع البرنامج النصي في هذه الحالة.

$IPCHAINS -N بالخارج
$IPCHAINS -N خريطة المنفذ

set -e # إحباط عند حدوث مشكلة
# الأخطاء المتعلقة بتعيين الحقوق.

#
# قم بإيقاف تشغيل إعادة التوجيه ومسح الجداول

صدى "0" > $(FORWARD_PROCENTRY)

$IPCHAINS -F إلى الأمام
$IPCHAINS -F الإدخال
$IPCHAINS -F الإخراج
$IPCHAINS -F بالخارج
$IPCHAINS -F خريطة المنفذ

#
# نستخدم التنكر للحزم التي تخرج من شبكتنا الداخلية إلى الشبكة الخارجية.
# لا تستخدم التنكر للحزم التي تتحرك عبر شبكتنا الخاصة.

$IPCHAINS -Award -s $LOCALNET -d $LOCALNET -j قبول
$IPCHAINS -A للأمام -s $ETOUTSIDE -d $ANYWHERE -j قبول
$IPCHAINS -Award -s $LOCALNET -d $ANYWHERE -j MASQ

#
# تعيين أعلام الأولوية. الحد الأدنى لتأخير الاتصال لـ www، telnet،
# ftp وssh (للحزم الصادرة فقط).

$IPCHAINS -A الإخراج -p tcp -d $ANYWHERE www -t 0x01 0x10
$IPCHAINS -A الإخراج -p tcp -d $ANYWHERE telnet -t 0x01 0x10
$IPCHAINS -A الإخراج -p tcp -d $ANYWHERE ftp -t 0x01 0x10
$IPCHAINS -A الإخراج -p tcp -d $ANYWHERE ssh -t 0x01 0x10

#
# يجب أن يؤخذ أي شيء من فئة C المحلية لدينا على أنه
# حزم الاسترجاع وIP الخارجي.

$IPCHAINS -A input -s $LOCALNET -j قبول
$IPCHAINS -A input -s $LOOPBACK -j قبول
$IPCHAINS -A input -s $ETOUTSIDE -j قبول

# إنشاء مجموعة من القواعد للحزم القادمة من العالم الخارجي
# وربط جميع الواجهات الخارجية بهذه القواعد. هذه القواعد
# سيتم استدعاؤه "خارجيًا"
#
# لنقم أيضًا بإنشاء "portmap". المقابس المستخدمة من قبل الشياطين
# المسجل مع RPC portmapper غير مثبت وبالتالي
# من الصعب وضع قواعد لهم. "بورتماب"
# تم تكوينه في برنامج نصي منفصل.

#
# يتضمن ذلك واجهة $OUTSIDEIF وأي واجهات تعادل القوة الشرائية التي نستخدمها
سيتم إنشاء # للمكالمات الصادرة أو الواردة.

$IPCHAINS -إدخال -i $(OUTSIDEIF) -j بالخارج
$IPCHAINS -إدخال -i ppp+ -j بالخارج

#
# وضع القواعد "الخارجية" #
#

#
# لا يمكن لأي شخص من العالم الخارجي أن ينتحل شخصية مستخدم داخلي
#

$IPCHAINS -A خارج -s $LOCALNET -j DENY
$IPCHAINS -A خارج -s $LOOPBACK -j DENY

#
# لا يمكن الخروج من الحزم المرسلة عبر الشبكة الداخلية
# للعالم الخارجي، لأن وليس من المفترض أن يعرف الطرف الخارجي
# حول عناوين IP الخاصة بنا.

$IPCHAINS -A خارج -d $LOCALNET -j DENY

#
# حظر الاتصالات الواردة على المنفذ X. نقوم بحظر المنافذ من 6000 إلى 6010.

$IPCHAINS -l -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 6000:6010 -j DENY

#
# حظر منافذ NFS 111 و 2049

$IPCHAINS -l -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY
$IPCHAINS -l -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE 111 -j DENY
$IPCHAINS -l -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE 2049 -j DENY

#
# حظر حزم XDM من العالم الخارجي، المنفذ 177 UDP

$IPCHAINS -l -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE 177 -j DENY

#
# حظر منفذ YP/NIS 653

$IPCHAINS -l -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 653 -j DENY

#
# لا تهتم بالتسجيل عند الوصول إلى منفذ TCP 80، هذا هو منفذ www.

$IPCHAINS -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 80 -j DENY

#
# قبول بيانات FTP واتصالات التحكم.

$IPCHAINS -A خارج -p TCP -s $ANYWHERE 20:21 -d $ANYWHERE 1024: -j قبول

#
# قبول حزم SSH

$IPCHAINS -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE ssh -j قبول

#
# قبول حزم DNS من العالم الخارجي

$IPCHAINS -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 53 -j قبول
$IPCHAINS -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE 53 -j قبول

#
# قبول SMTP من العالم الخارجي

$IPCHAINS -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 25 -j قبول

#
# تلقي حزم NTP

$IPCHAINS -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE 123 -j قبول

#
# لا تقبل أي حزم هوية، فنحن لا نستخدمها

$IPCHAINS -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE 113 -j DENY

#
# رفض وتسجيل كافة الحزم الواردة الأخرى، TCP أو UDP، على منافذ خاصة

$IPCHAINS -l -A خارج -p TCP -s $ANYWHERE -d $ANYWHERE:1023 -y -j DENY
$IPCHAINS -l -A خارج -p UDP -s $ANYWHERE -d $ANYWHERE:1023 -j DENY

#
# تحقق من إعدادات أذونات portmapper

$IPCHAINS -A خارج -j خريطة المنفذ

#
# نهاية وضع القواعد "الخارجية" #
#

#
# منع اتفاقيات rwho الصادرة

$IPCHAINS -A الإخراج -p UDP -i $OUTSIDEIF -s $ANYWHERE 513 -d $ANYWHERE -j DENY

#
# منع إرسال حزم netbios

$IPCHAINS -A الإخراج -p UDP -i $OUTSIDEIF -s $ANYWHERE 137 -d $ANYWHERE -j DENY

#
# تمكين إعادة التوجيه

صدى "1" > $(FORWARD_PROCENTRY)

يرجى ملاحظة أننا لا نحظر الحزم الواردة فحسب، بل نحظر أيضًا الحزم الصادرة التي قد تحتوي على معلومات حول شبكتك الخاصة، على سبيل المثال، حزم rwho وnetbios. كما هو مذكور أعلاه، تختلف أذونات portmapper قليلاً، لأنها تقوم البرامج الشيطانية بالتسجيل مباشرةً في مخطط المنفذ وتحديد المنافذ التي سيتم العمل بها. قد تتغير المنافذ التي تستخدمها بعض البرامج الخفية اعتمادًا على التغييرات في خدمات RPC المستخدمة أو ترتيب التمهيد الخاص بها. يقوم البرنامج النصي التالي، /sbin/firewall.portmap.sh، بإنشاء أذونات لبرامج portmapped:

#! / بن / ش
#
في أي مكان=0/0

IPCHAINS=/sbin/ipchains

$IPCHAINS -F خريطة المنفذ

# قواعد لمنع الأشخاص من الشبكة الخارجية من الوصول إلى الخدمات المنفذة
#
/usr/bin/rpcinfo -p | الذيل +2 | \
(أثناء قراءة البرنامج مقابل المنفذ الأولي المتبقي
يفعل
بروت = `صدى $ بروتو | tr "a-z" "A-Z"`
$IPCHAINS -l -A portmap -p $prot -s $ANYWHERE -d $ANYWHERE $port -j DENY || خروج 1
منتهي
}

لا داعي للقلق بشأن الحزم القادمة عبر شبكتنا الخاصة، لأن... سلسلة portmap مخصصة فقط لفحص الحزم القادمة من الشبكة الخارجية. يقوم تكوين جدار الحماية هذا بتسجيل الحزم الأكثر مشبوهة عبر klogd باستخدام تسجيل أولوية kern.info. سيتم تسجيل محاولات الاتصال العادية بالإضافة إلى استكشافات الشبكة الصعبة المعروفة.

الآن نجمع كل شيء معًا. للتأكد من عدم وجود ثغرة أمنية أثناء بدء تشغيل النظام، يجب عليك تكوين البرنامج النصي للتمهيد على النحو التالي:

#! / بن / ش
#
# إطلاق الشبكة بشكل موثوق
#
#
/etc/rc.d/rc.inet1 # تكوين واجهات الشبكة
# وإعداد التوجيه.
/sbin/firewall.sh || (صدى "خطأ في تكوين جدار الحماية"
/sbin/ifconfig eth1 لأسفل )

/sbin/ipchains -I خارج 1 -j DENY # رفض كافة الحزم الواردة

/etc/rc.d/rc.inet2 # بدء تشغيل برامج الشبكة

نم 5 # فلنمنحهم الفرصة لتحقيق الاستقرار

# خدمات portmap آمنة
/sbin/firewall.portmap.sh || (صدى "خطأ في تكوين خريطة منفذ جدار الحماية"
/sbin/ifconfig eth1 لأسفل )

/sbin/ipchains -D خارج 1 # السماح بقبول الحزم الواردة

يفترض هذا الملف أن واجهة eth1 موجودة على عنوان IP (حقيقي) مرئي من الشبكة الخارجية. إذا تسببت أي من مجموعات القواعد في فشل التثبيت، فسيتم إصدار رسالة وسيتم تعطيل الواجهة. قبل أن تبدأ جميع البرامج الشيطانية، نقوم بحظر استقبال أي حزم من العالم الخارجي، لأنه في هذا الوقت لم تكن الحقوق قد دخلت حيز التنفيذ بعد. بعد تفعيل حقوقنا المعلنة، نستأنف تلقي الحزم.

تكوين OpenSSH أو SSH1

في وقت كتابة هذا التقرير، يوفر OpenSSH، مثل SSH1، القدرة على تضمين scp وssh وslogin كثنائيات تسمى rcp وrsh وrlogin، مع برامج عميل ssh التي تحمل مصدر rsh أو rcp أو rlogin عندما يكون الجهاز البعيد قيد التشغيل. لا يعمل SSHD. يمكنك إنشاء استدعاء rsh، ولكن بدلاً من ذلك أعتقد أنه من المهم الحفاظ على الأمان مع سهولة الاستخدام للمستخدمين. البرامج النصية العامة وتكوينات rdist وما إلى ذلك. يمكن أن تعمل دون إجراء أي تغييرات عليها إذا كان الجهاز البعيد يعمل بنظام sshd، فسيتم إرسال البيانات مشفرة بمصادقة قوية إلى حد ما. إذا كان الجانب البعيد لا يدعم sshd، فسيعرض برنامج rsh تحذيرًا بأن الاتصال غير مشفر. تمنع هذه الرسالة تشغيل rdist وربما بعض البرامج الأخرى. لا يمكن منعه بواسطة معلمات التجميع أو أي شيء من هذا القبيل. الحل الوحيد لهذه المشكلة بالنسبة لـ rdist هو تشغيل البرنامج باستخدام -p /usr/lib/rsh/rsh.

احصل على حزمة ssh1 من موقع ssh، أو OpenSSH من موقع OpenSSH، وقم بتجميعها لتحل محل برامج r غير المشفرة (rsh، وrlogin، وrcp). أولاً، انسخ هذه الملفات الثلاثة إلى /usr/lib/rsh/، ثم قم بتكوين حزمة ssh:

./configure --with-rsh=/usr/lib/rsh/rsh --program-transform-name="s/^s/r/" --prefix=/usr

قم بتثبيت الثنائيات وقم بتكوينها وفقًا للوثائق. على جهاز بوابة الشبكة الخاصة، تأكد من أن تكوين sshd يحتوي على القيم التالية: الاستماع إلى العنوان 192.168.1.1 # IP الداخلي للبوابة
تجاهل رقم المضيفين
X11Forwarding نعم
X11ديسبلاي أوفست 10
رقم المصادقة Rhosts
مصادقة RhostsRSAA نعم
مصادقة RSA نعم
مصادقة كلمة المرور نعم

يجب عليك تكوين الإعدادات الأخرى المضمنة في الملف /etc/sshd_config، ولكن لا تحاول تجاوز هذه الحقول. بمجرد إدخال معلمات جميع الحقول، انسخ هذا الملف إلى ملف جديد /etc/sshd_config.ext، للشبكة الخارجية. قم بتغيير حقلين فقط للملف الجديد: قم بتغيير معلمة الحقل ``ListenAddress"" إلى عنوان البوابة الخارجية (في حالتنا هو 10.1.1.9)، وقم بتغيير معلمة الحقل ``PasswordAuthentication"" إلى ``no"" في /etc/sshd_config .ext. في البرنامج النصي لتمهيد خدمات الشبكة لديك، قم بتشغيل sshd مرتين، مرة /usr/sbin/sshd ومرة ​​/usr/sbin/sshd -f /etc/sshd_config.ext

سيؤدي هذا إلى إنشاء موقف حيث سيكون هناك اثنين من برامج sshd قيد التشغيل. أحدهما على الواجهة الخلفية سيسمح بتسجيل الدخول باستخدام كلمات المرور، والآخر على الواجهة الأمامية سيتطلب فحص مفتاح RSA قبل أن يتمكن أي شخص من تسجيل الدخول. بعد ذلك، قم بتعطيل استخدام telnet وshell الخارجي في ملف تكوين inetd (لاحظ أن إعداد جدار الحماية المدرج في قسم تكوين جدار الحماية الخاص بك سيمنع بالفعل الوصول الخارجي، ولكن من الأفضل أن تكون آمنًا تمامًا ولا تفترض أن كل شيء سيعمل دون تعطل) .

سيحتاج الأشخاص الذين يحتاجون إلى تسجيل الدخول إلى شبكتك الخاصة من المنزل أو خارج المدينة إلى مفتاح RSA. تأكد من أنهم يعرفون كيفية استخدامه وأنهم لن يضيعوا طاقتهم في محاولة العثور على طريقة أخرى، مثل استخدام telnetd على منفذ مغلق على جدار الحماية الخاص بك.

يتم إنشاء مفتاح RSA بواسطة الأمر:

ssh-keygen -b 1024 -f new_rsa_key

سيُطلب منك عبارة مرور. لا ينبغي أن تكون فارغة. الشخص الذي لديه حق الوصول إلى ملف new_rsa_key، والذي يعرف عبارة المرور، لديه كل شيء للحصول على ترخيص RSA. يمكن أن تكون عبارة المرور عبارة عن كلمة مرور أو جملة طويلة، لكن لا تجعلها شيئًا تافهًا. يمكن نسخ ملف new_rsa_key إلى قرص مرن أو كمبيوتر محمول، ويمكن استخدامه مع عبارة المرور لترخيص RSA. لمنح الوصول عبر مفتاح RSA، تحتاج إلى إنشاء دليل $HOME/.ssh/ لمستخدم الشبكة الخاصة هذا على البوابة (أي على الجهاز الذي سيستضيف المستخدم)، ونسخ ملف new_rsa_key.pub هناك، والتي يمكن إنشاؤها باستخدام الأمر "ssh-keygen" في ملف $HOME/.ssh/authorized_keys. راجع قسم ``AUTHORIZED_KEYS FILE FORMAT'' في صفحة دليل sshd للحصول على مزيد من التفاصيل حول الخيارات الأخرى التي يمكنك إضافتها إلى المفتاح، مثل طلب كلمة مرور عند التبديل من عنوان IP الحقيقي، أو ترخيص المفتاح فقط عند تنفيذ أوامر معينة. على سبيل المثال، يتم استخدام مفتاح RSA فقط عند استخدام أوامر النسخ الاحتياطي، أو إرسال رسالة حالة خارج النظام.

لم يتبق سوى شيء واحد يجب القيام به لتزويد المستخدم بأقصى قدر من الراحة عند العمل مع آلية RSA. إذا اضطر المستخدم إلى كتابة عبارة مرور أكثر من مرة خلال جلسة العمل، فمن المحتمل أن يتعب منها كثيرًا. في Linux، قم بترتيب غلاف تسجيل الدخول الخاص بهم ليتم استدعاؤه ضمن ssh-agent. على سبيل المثال، إذا تم استخدام كمبيوتر محمول خاص بالشركة لسفر العمل، أو تشغيل xdm، فقم بتغيير السطر في الملف /var/X11R6/lib/xdm/Xsession_0 من:

إلى: وكيل exec ssh "$startup"

يحتوي تثبيت xdm الخاص بي على ثلاثة من هذه الأسطر في ملف واحد، وكلها بحاجة إلى التغيير. الآن بعد أن قام المستخدم بتسجيل الدخول، يقوم بإدخال الأمر ssh-add new_rsa_key

عند أي مطالبة، يقوم المستخدم بإدخال عبارة المرور ولن يُطلب منه إدخالها مرة أخرى حتى يخرج من جلسة X على الكمبيوتر المحمول. قم بتشغيل sshd على جميع الأجهزة الموجودة على شبكتك الخاصة. بالنسبة للأجهزة بخلاف بوابة الشبكة الخاصة، يمكن تعيين الإدخال ``ListenAddress'' في /etc/sshd_config على ``0.0.0.0"". يجب عليك تعيين المفاتيح للمضيفين باستخدام الأمر:

ssh-keygen -b 1024 -f /etc/ssh_host_key -N ""

ثم قم بتشغيل make-ssh-known-hosts وقم بتوزيع الملف /etc/ssh_known_hosts على جميع الأجهزة الموجودة على شبكتك الخاصة والخارجية. تعطيل تسجيل الدخول إلى telnet وخدمات r غير المشفرة. لا تقم بحذف ملف telnet الثنائي، فهو ضروري لأشياء أخرى غير الاتصالات العادية على المنفذ 23. يجب عليك السماح بمصادقة كلمة المرور لأعضاء شبكتك الخاصة، وتعطيلها على الأجهزة الخارجية التي تتطلب مفتاح RSA لتسجيل الدخول.

من المناسب للمستخدمين أن يتم ذكر مضيفي الشبكة الخاصة في ملفات /etc/hosts.equiv. ستسمح برامج sshd بتشغيل rlogin وrsh بدون كلمة مرور أو عبارة مرور. في كل مرة يتم فيها الاتصال، ستقوم الأجهزة بفحص مفاتيح RSA الخاصة ببعضها البعض على مستواها الخاص.

تنشأ إحدى الصعوبات عندما يرغب مستخدم مسجل على شبكة خاصة في الحصول على عنوان IP خارجي. يمكنك استخدام /etc/hosts.equiv أو $HOME/.shosts للسماح بالتحقق من كلمة المرور يقوم المستخدم بتسجيل الدخول من جهاز لا يمكن تحديد عنوان IP الخاص به، ولكن مفاتيح المضيف لن تتطابق. هناك نوعان من الحلول لهذه المشكلة. أولاً، إذا كنت تريد استخدام الأساليب /etc/hosts.equiv أو $HOME/.shosts، فسيحتاج المستخدم إلى تسجيل الدخول إلى جهاز بوابة الشبكة الخاصة (fred.example.com في مثالنا)، ثم انتقل إلى الجهاز المطلوب من هناك. أسلوب آخر هو استخدام مصادقة مفتاح RSA، والتي ستضمن الاستقلال عن ألعاب عنوان IP وعمليات البحث عن اسم المضيف.

التكوين X

مع استمرار الإعداد، أصبح من الشائع وضع أوامر لسهولة الحماية

في البرامج النصية لتهيئة جلسة X. يفترض هذا أن الخادم X يتواصل مع الجميع في العالم. في الوقت الحاضر، يمكن لشخص غريب عشوائيًا تغيير تصميم نافذتك الرئيسية إلى شيء غير لائق بينما يعرض رئيسك مكتبك لوالدته. يمكن لهذا الشخص الخارجي مراقبة جميع ضغطات المفاتيح والحصول على تفريغ لشاشة عملك على شاشته. وبطبيعة الحال، لن يكون لذلك تأثير إيجابي على كلمات المرور المستخدمة لتسجيل الدخول إلى المواقع الأخرى. بروتوكول xhost نفسه محدود للغاية، لأنه لا يمكنه حتى منح إذن الاستخدام بناءً على المستخدم قيد التشغيل، ولكن بناءً على الجهاز قيد التشغيل فقط. استخدم مصادقة xauth. إذا كان لديك xdm مثبتًا، فمن المحتمل أنك تستخدم بالفعل مصادقة xauth، ولكن xhost لا يزال يعمل، وقد يكون هو ما يستخدمه الأشخاص عند تشغيل عمليات X بين الأجهزة. مرة أخرى، الهدف هو جعل الحماية سهلة الاستخدام إلى حد ما لأن... لم يعد المستخدمون يميلون إلى استخدام أمر xhost.

تم شرح تثبيت sshd في قسم القسم. يعد تكوين OpenSSH أو SSH1، باستخدام مجموعة العلامات ``X11Forwarding''، في الواقع بديل xhost أسهل في الاستخدام. بمجرد دخولك إلى الوحدة الطرفية، يمكنك ببساطة تسجيل الدخول إلى الجهاز البعيد وتشغيل netscape أو xv أو أي شيء آخر تريده، دون تعيين المتغير $DISPLAY أو السماح بأذونات صريحة. أثناء تسجيل الدخول، سيتم تكوين ssh تلقائيًا دون أن يلاحظها أحد على الإطلاق من قبل المستخدم، وبفضل هذا سيكون هناك تشفير تلقائي لجميع الحزم قبل إرسالها عبر الشبكة.

إذا لم تتمكن من استخدام إعادة توجيه sshd X11 لسبب ما، فيجب عليك استخدام xauth عند السماح للأجهزة الأخرى بالوصول إلى خادم X. قم بوصف ذلك للمستخدمين أو قم بإنشاء نصوص برمجية خاصة لمساعدتهم. للسماح بتسجيل الدخول إلى نظام ""jpublic"" على جهاز ""barney"" والوصول إلى خادم X، يجب عليك إدخال:

/usr/X11/bin/xauth استخراج - $DISPLAY | rsh -l jpublic barney /usr/X11/bin/xauth دمج -

لا يجوز استخدام هذا التسلسل لاتصالات X من الأجهزة التي تشترك في دليل رئيسي NFS مشترك. سيكون مفتاح Xauth متاحًا على الفور لمستخدمي تلك الأجهزة التي ستستخدم نفس الدليل الرئيسي. لو كنت مكانك، لأزلت xhost من الأجهزة تمامًا. إذا تسبب هذا في حدوث مشكلات مع بعض البرامج، فستعرف على الأقل أن أمانها ضعيف. من السهل جدًا تطوير برنامج نصي ليحل محل إشارة xhost، والذي يستخدم تسلسل xauth المذكور أعلاه.

لاحظ أنه إذا لم يتم تشفير rsh بواسطة ssh، فسيتم إرسال مفتاح xauth بنص عادي. سيتمكن أي شخص يمكنه اعتراض المفتاح من الوصول إلى الخادم الخاص بك، لذا فإن جميع الجهود التي تهدف إلى أمان النظام تعتبر لاغية وباطلة إذا لم يتم استخدام ssh. بالإضافة إلى ذلك، إذا تم تصدير الدلائل الرئيسية عبر NFS، فسيتمكن أي شخص قادر وفضولي من الوصول إلى جميع الحزم المنقولة عبر NFS، بغض النظر عما إذا كنت تستخدم ssh على نظامك أم لا.

إعداد مشاركة القرص

يعد العمل مع البريد الوارد إلى الجهاز المركزي وقراءته/إرساله من أي جهاز أمرًا مريحًا بلا شك، ولكن يجب إيلاء بعض الاهتمام للأمن. NFS بدون AUTH_DES أمر خطير بلا شك. يعتمد NFS على جهاز العميل، ولا يلزم التحقق من كلمة المرور للسماح بالوصول، ويجب السماح للمستخدم بالوصول إلى ملفاته المحددة. يمكن تكوين أجهزة Windows لقراءة أقسام NFS المُصدَّرة باستخدام أي معرف uid، مما يؤدي إلى تجاوز أذونات الملفات التي تم تعيينها بواسطة UNIX تمامًا. وبالتالي، لا يمكن منح الوصول إلى NFS إلا لتلك الأجهزة التي تعمل دائمًا بنظام التشغيل Linux (أو Unix) فقط ولا يمكن تشغيلها مطلقًا ضمن نظام Windows. لتصدير الدليل الرئيسي الخاص بك على نظام التشغيل Windows، استخدم سامبا مع ضبط وضع المصادقة على ``الأمن=USER"". إن توصيل الأجهزة على شبكتك باستخدام لوحة الوصل سيساعد أيضًا، لأن... في هذه الحالة، يتم فقدان أي معنى في استخدام المتشممون على أجهزة Windows. في النهاية، من المستحيل ضمان مشاركة القرص عبر الشبكة.

لماذا تهتم إذا لم تتمكن من حماية محركات الأقراص المشتركة بشكل كامل على أي حال؟ ويمكن توضيح هذا الوضع بالمثال التالي. إذا تركت قطعة من الورق تحتوي على معلومات سرية على مكتبك وقرأها أحد الأشخاص في المكتب، فقد يقول إنه لا يعرف ماهيتها وكان ينظر إليها فقط بدافع الفضول. ولكن ينشأ موقف مختلف تمامًا إذا كانت هذه الورقة في خزانة الملفات أو على الطاولة. الغرض من إنشاء حماية أساسية للشبكة على الأقل هو التأكد من عدم تعرض بياناتك للخطر "عن طريق الخطأ".