Tujuan
Tujuan kami adalah untuk mengatur akses ke repositori yum internal dan jarak jauh sementara beberapa di antaranya berada di belakang server proxy.
Sistem Operasi dan Versi Perangkat Lunak
- Sistem operasi:Red Hat Enterprise Linux 7.5
Persyaratan
Akses istimewa ke sistem
Kesulitan
MUDAH
Konvensi
- # – membutuhkan perintah linux yang diberikan untuk dieksekusi dengan hak akses root baik secara langsung sebagai pengguna root atau dengan menggunakan
sudoperintah - $ – perintah linux yang diberikan untuk dieksekusi sebagai pengguna biasa yang tidak memiliki hak istimewa
Pengantar
Dalam lingkungan perusahaan, biasanya membatasi akses Internet – baik untuk keamanan maupun akuntabilitas. Ini sering dilakukan dengan menggunakan server proxy yang memungkinkan akses ke Internet setelah semacam otentikasi, sambil memeriksa dan mencatat semua lalu lintas yang melewatinya. Dengan cara ini perusahaan dapat, misalnya menemukan karyawan yang mengunduh virus yang merusak sistem perusahaan (atau setidaknya karyawan yang kredensialnya dicuri untuk melakukannya), atau menyaring lalu lintas, mencegah akses ke situs berbahaya yang terkenal. untuk melindungi peralatan karyawan.
Mungkin ada jenis akses Internet lain yang diperlukan, namun:sebagai sysadmin, Anda memerlukan pembaruan perangkat lunak untuk server agar tetap mutakhir. Lalu lintas ini juga dapat melewati proxy, jika Anda menyiapkan yum untuk menggunakan proksi. Tetapi bagaimana dengan repositori internal yang tidak dapat dijangkau dengan pengaturan ini, karena berada di dalam LAN? Di mana menempatkan pengaturan ini jika mesin yang dimaksud adalah desktop, digunakan untuk menjelajah juga? Mari cari tahu cara menyiapkan beberapa kemungkinan kasus penggunaan dengan Red Hat Linux.
Penyiapan tutorial
Dalam tutorial ini kita berasumsi bahwa proxy di lingkungan kita adalah proxy.foobar.com , melayani pada port 8000 , dan memerlukan otentikasi nama pengguna/sandi sederhana untuk memberikan akses ke seluruh dunia. Kredensial yang valid adalah foouser sebagai nama pengguna dan secretpass sebagai kata sandi. Perhatikan bahwa proxy Anda mungkin sangat berbeda, mungkin tidak memerlukan kata sandi, atau bahkan nama pengguna, itu tergantung pada konfigurasinya.
Koneksi ad hoc melalui proxy
Jika Anda perlu terhubung melalui proxy sekali, misalnya mengunduh paket dari baris perintah, atau menguji konektivitas sebelum menyelesaikan konfigurasi, Anda dapat mengekspor variabel terkait proxy ke sesi baris perintah Anda saat ini:
$ export http_proxy=http://foouser:[email protected]:8000
Anda dapat mengatur https_proxy variabel dengan cara yang sama.
Sampai Anda mengakhiri sesi, atau unset variabel yang diekspor, http (atau https ) lalu lintas akan mencoba menyambung ke proxy – termasuk lalu lintas yang dihasilkan oleh yum . Perlu diingat bahwa ini menyebabkan nama pengguna dan sandi proxy yang valid ada di riwayat pengguna! Ini mungkin informasi sensitif yang tidak dimaksudkan untuk dibaca oleh orang lain yang dapat mengakses file riwayat.
Semua lalu lintas menggunakan proxy
Jika sistem secara keseluruhan perlu menggunakan proxy untuk menjangkau, Anda dapat mengatur proxy di /etc/profile , atau letakkan variabel dalam file terpisah ke /etc/profile.d direktori, jadi pengaturan ini hanya perlu diubah di satu tempat. Mungkin ada kasus penggunaan untuk ini, tetapi juga perlu diingat bahwa dalam kasus ini setiap dan semua lalu lintas dicoba melalui proxy – jadi browser juga akan mencoba menjangkau halaman internal melalui proxy.
Perhatikan bahwa kami menyetel variabel lingkungan yang sama seperti yang kami lakukan dengan koneksi proxy satu kali, hanya menyetelnya saat startup, oleh karena itu semua sesi pengguna "mewarisi" variabel ini.
Jika Anda perlu mengatur lebar sistem proxy, tambahkan yang berikut ini ke /etc/profile atau file terpisah di bawah /etc/profile.d direktori, menggunakan editor teks favorit Anda:
export http_proxy=http://foouser:[email protected]:8000
export https_proxy=http://foouser:[email protected]:8000
Anda juga dapat mengatur ini per level pengguna (misalnya di .bash_profile ), dalam hal ini mereka hanya berlaku untuk pengguna tertentu itu. Dengan cara yang sama, setiap pengguna dapat mengganti pengaturan seluruh sistem ini dengan menambahkan nilai baru ke variabel ini.
Untuk mengingatkan tutorial ini kita akan fokus pada yum dan itu adalah repositori yang dikonfigurasi, jadi kami berasumsi bahwa kami tidak memiliki atau memerlukan pengaturan proxy di seluruh sistem. Ini mungkin masuk akal meskipun pengguna yang menjelajah di mesin harus menggunakan proxy untuk menjangkau Internet.
Misalnya, pengguna desktop perlu menggunakan kredensial mereka sendiri, dan lebih dari satu pengguna mungkin memiliki akses ke desktop yang diberikan. tetapi ketika admin melakukan penerapan di semua desktop klien (mungkin menggunakan sistem manajemen pusat), penginstalan dilakukan oleh yum mungkin memerlukan kredensial yang didedikasikan untuk lalu lintas tingkat sistem. Jika sandi pengguna yang digunakan untuk koneksi proxy berubah, konfigurasi perlu diperbarui agar berfungsi dengan baik.
Semua repositori bersifat eksternal
Sistem kami mencapai repositori Red Hat default melalui proxy, dan kami tidak memiliki repositori internal. Di sisi lain, program lain yang menggunakan jaringan tidak perlu atau tidak harus menggunakan proxy. Dalam hal ini kita dapat mengkonfigurasi yum untuk mengakses semua repositori menggunakan proxy dengan menambahkan baris berikut ke /etc/yum.conf file, yang digunakan untuk menyimpan parameter yum global untuk mesin yang diberikan:
proxy=http://proxy.foobar.com:8000
proxy_username=foouser
proxy_password=secretpass
Dalam hal ini perlu diingat konfigurasi ini akan rusak pada perubahan kata sandi juga. Setiap repositori baru yang ditambahkan akan dicapai melalui proxy, jika tidak ada penggantian di tingkat repositori.
Beberapa repositori bersifat eksternal
Setup mungkin sedikit lebih rumit jika ada repositori eksternal dan internal pada saat yang sama – misalnya, server Anda dapat mencapai repositori vendor melalui Internet terbuka, menggunakan proxy perusahaan, dan pada saat yang sama mereka perlu mengakses internal repositori berisi perangkat lunak yang dikembangkan dan dikemas dalam perusahaan, yang hanya untuk penggunaan internal.
Dalam hal ini Anda harus mengubah pengaturan berdasarkan per repositori. Pertama-tama atur proxy secara global untuk yum sebagai semua repositori di mana eksternal, dijelaskan di bagian sebelumnya. Untuk repositori internal, buka setiap file yang berisi repositori eksternal di bawah /etc/yum.repos.d direktori, dan tambahkan proxy=_none_ parameter ke konfigurasi repositori internal. Misalnya:
Menonaktifkan proxy untuk repositori internal Kesimpulan
Proxy memberikan keamanan dan akuntabilitas, tetapi terkadang dapat membuat hidup kita lebih sulit. Dengan beberapa perencanaan dan pengetahuan tentang alat yang tersedia, kami dapat mengintegrasikan sistem kami dengan proxy sehingga mereka dapat menjangkau semua data yang dimaksudkan, dengan cara yang sesuai dengan pengaturan proxy kami.
Jika Anda memiliki banyak sistem yang perlu menjangkau repositori yang sama di luar firewall perusahaan, selalu pertimbangkan untuk mencerminkan repositori ini secara lokal, menghemat banyak bandwidth, dan membuat penginstalan atau peningkatan klien independen dari dunia di luar jaringan lokal, oleh karena itu membuatnya lebih rawan kesalahan. Anda dapat menyetel setelan proxy pada pencerminan mesin, dan meninggalkan semua mesin lain dari internet publik setidaknya dari yum perspektif. Ada solusi manajemen pusat yang menyediakan fungsionalitas ini, baik open source maupun rasa berbayar.