Самоучитель системного администратора. 5-е издание

Работа в глобальной сети 
225 
Все, что вам осталось сделать, — это перезапустить Squid: 
# /etc/init.d/squid restart 
После этого откройте журнал squidGuard — файл 
/var/log/squidGuard/squidGuard.log
.
В нем вы должны увидеть строку: 
squidGuard ready for requests 
Если она есть, значит, вы все сделали правильно, и squidGuard работает. 
П
РИМЕЧАНИЕ
Фильтрация HTTPS-ресурсов требует дополнительной настройки Squid. Подробнее об 
этом можно прочитать в статье 
https://habr.com/post/267851/
. 
Удаленная работа 
Виртуальные частные сети 
Предположим, что пользователям нашего предприятия нужно обращаться к ресур-
сам корпоративной сети, когда они находятся за ее пределами, например в другом 
городе. Первое, что приходит в голову, — это настроить сервер удаленного доступа 
(Remote Access Server, RAS- или dial-in-сервер). Пользователь с помощью модема 
«дозванивается» до сервера удаленного доступа, сервер идентифицирует пользова-
теля, после чего последний подключается к сети предприятия и работает 
в ней, как ни в чем не бывало (разве что скорость передачи данных будет значи-
тельно ниже, чем обычно). 
Но использование RAS — затея довольно дорогая и неудобная. Во-первых, нужно 
организовать модемный пул, а это недешево и накладно — чтобы обеспечить одно-
временную работу нескольких пользователей понадобится или многоканальная ли-
ния, или же несколько телефонных линий. Во-вторых, нужно оплачивать междуго-
родние и даже международные звонки пользователей (для удобства самих пользо-
вателей желательно организовать callback-режим). В-третьих, далеко не всегда
у пользователя есть возможность подключиться к телефонной сети. В-четвертых, 
RAS не может обеспечить связь нескольких филиалов компании. 
Выходом из сложившейся ситуации является использование 
виртуальной частной 
сети
(Virtual Private Network, VPN). В случае с VPN данные передаются по каналам 
Интернета. Это существенно упрощает и удешевляет нашу задачу. Доступ к Интер-
нету есть везде, пользователи сами смогут выбирать провайдера и способ (соответ-
ственно, и скорость) подключения к Интернету. Понятно, чтобы оградить данные 
от перехвата, информация при передаче через VPN шифруется. Вот основные пре-
имущества VPN: 
не требуется никакого дополнительного оборудования (модемного пула) и каких-
либо дополнительных ресурсов (например, многоканальной телефонной линии). 
Все, что нужно, — это подключение к Интернету, а поскольку нет такого част-
ного предприятия, которое не было бы подключено к Интернету, будем считать, 
что все необходимое для организации VPN уже есть; 

226 
Глава 5 
безопасность передачи данных по сравнению с обычной передачей данных по 
Интернету; 
возможность как соединения филиалов компании, так и подключения отдельных 
пользователей к корпоративной сети. При этом отдельные пользователи могут 
подключаться к Интернету с использованием возможностей мобильной связи, 
что делает их подключение к VPN максимально гибким — им не придется
искать свободную телефонную розетку. 
Настройка VPN-сервера — задача непростая и требует особого подхода. К сожале-
нию, описание конфигурации такого сервера выходит за рамки этой книги. Если вы 
заинтересовались, то можете обратиться к книге Д. Колисниченко «Серверное при-
менение Linux, 3-е изд.» издательства «БХВ-Петербург»
1
. 
Удаленное подключение к Linux 
Для сервера очень важна возможность удаленного доступа. Ведь не всегда есть 
возможность получить физический доступ к серверу — вы можете находиться
в другом конце города или даже в другой стране, а сервер предприятия вдруг по-
требует вашего оперативного вмешательства. 
Для организации удаленного доступа мы применим два совершенно разных спосо-
ба: протокол SSH и X-терминалы. В первом случае мы получим доступ к консоли 
сервера. Именно это нам и нужно, если мы подключаемся по относительно медлен-
ному каналу (модем, мобильный телефон) — ведь для передачи текста большая 
скорость не нужна. 
Второй способ подходит для более скоростного канала — выделенной линии или же 
локальной сети. Но зато X-терминалы позволяют работать с удаленным компьюте-
ром, как с локальным, т. е. с полным эффектом присутствия. В отдельном окне вы 
будете видеть графический интерфейс удаленного компьютера. А если активизиро-
вать полноэкранный режим, тогда вообще нельзя будет даже и предположить, что 
работаешь за удаленным компьютером, — разницы вы просто не заметите. Впрочем, 
все будет выполняться немного медленнее — ведь данные нужно передать по сети,
а не по внутренней шине компьютера. Но тут все зависит от конфигурации самих 
компьютеров и, конечно же, непосредственно от сети. 
Протокол SSH 
Раньше для организации удаленного доступа к консоли сервера использовался про-
токол Telnet. В каждой сетевой операционной системе, будь то FreeBSD или 
Windows, есть telnet-клиент. Эта программа так и называется — telnet (в Win-
dows — 
telnet.exe
). 
Но технологии не стоят на месте, и протокол Telnet устарел. Сейчас им практиче-
ски никто не пользуется. Ему на смену пришел протокол SSH (Secure Shell), кото-
рый, как видно из названия, представляет собой безопасную оболочку. Главное его 
1
См. 
http://www.bhv.ru/books/book.php?id=188723
. 

Работа в глобальной сети 
227 
отличие от Telnet состоит в том, что все данные (включая пароли доступа к удален-
ному компьютеру и файлы, пересылаемые по SSH) передаются в зашифрованном 
виде. Во времена Telnet нередки были случаи перехвата паролей и другой важной 
информации, что и стало причиной создания SSH. 
Протокол SSH использует следующие алгоритмы для шифрования передаваемых дан-
ных: BlowFish, 3DES (Triple Data Encryption Standard), IDEA (International Data 
Encryption Algorithm) и RSA (Rivest-Shamir-Adelman algorithm). Самыми надежными 
являются алгоритмы IDEA и RSA. Поэтому, если вы передаете действительно конфи-
денциальные данные, лучше использовать один из этих алгоритмов. 
В состав любого дистрибутива Linux входит ssh-сервер (программа, которая и 
обеспечивает удаленный доступ к компьютеру, на котором она установлена) и ssh-
клиент (программа, позволяющая подключаться к ssh-серверу). Для установки
ssh-сервера нужно установить пакет openssh (это разновидность ssh-сервера), а для 
установки ssh-клиента — пакет openssh-clients. 
Если у вас на рабочей станции установлена система Windows, и вам нужно под-
ключиться к ssh-серверу, запущенному на Linux-машине, то по адресу 
http:// 
www.cs.hut.fi/ssh/ 
вы можете скачать Windows-клиент для SSH. Нужно отметить, 
что Windows-клиент, в отличие от Linux-клиента, не бесплатен. 
Работать с ssh-клиентом очень просто. Для подключения к удаленному компьютеру 
введите команду: 
ssh [
опции
] 
<адрес_удаленного_компьютера>
В качестве адреса можно указать как IP-адрес, так и доменное имя компьютера.
В табл. 5.7 приведены часто используемые опции программы ssh. 
Таблица 5.7.
Опции программы ssh 
Опция Описание 
-c blowfish|3des|des 
Выбор алгоритма шифрования — при условии, что используется 
первая версия протокола SSH (об этом позже). Можно указать 
blowfish
,
des
или 
3des
-c 
шифр
Задает список шифров, разделенных запятыми в порядке пред-
почтения. Опция используется для второй версии SSH. Можно 
указать 
blowfish
, 
twofish
, 
arcfour
, 
cast
, 
des 
и 
3des
-f 
Переводит ssh в фоновый режим после аутентификации пользо-
вателя. Рекомендуется использовать для запуска программы X11. 
Например: 
ssh –f server xterm
-l 
имя_пользователя
Указывает имя пользователя, от имени которого нужно зарегист-
рироваться на удаленном компьютере. Опцию использовать
не обязательно, поскольку удаленный компьютер и так запросит 
имя пользователя и пароль 
-p 
порт
Определяет порт ssh-сервера (по умолчанию используется 
порт 22) 

228 

Download 19,93 Mb.

Do'stlaringiz bilan baham: