|
实例应用:用PacketFence安装配置NAC作者:阿林
作为网络的管理者和维护者,我们都想拥有一套健全的网络控制机制,如采用NAC(网络接入控制)方案。一个有效的NAC方案,对威胁具有极大的免疫性。但是由于NAC技术含量高,其价格也不菲,它已经成为许多厂商的重要利润来源。那有没有开源的NAC可以给我们选择呢?
我们的回答是肯定的,开源NAC正在如火如荼地发展着。PacketFence是开源NAC中的佼佼者,它可靠、容易配置,且构建于未修改的开源代码之上(Fedora, LAMP, Perl, and Snort)。PacketFence的设计目的是要在不同种类的环境中运行,并且它使用了“不可知厂商隔离”( vendor-agnostic isolation)技术,其中包括DHCP范围改变和ARP高速缓存处理技术(“被动”模式)等。选购NAC非商业类不可吗?非也!
PacketFence是开源团体对NAC提交的完美答卷。作为开源团体的一个坚定的支持者,笔者知道它势必要成为一个有趣的项目,不过笔者在安装PacketFence时也并非一帆风顺。其中一部分困难来源于笔者反对在所推荐的环境中安装PacketFence。为什么笔者要反对呢?因为推荐的环境过时,如Fedora 4。
不过,笔者还是谨慎为妙,在Ubuntu 6.06服务器中做出了最合乎逻辑的选择。因此,请读者注意:这种安装是完全通过命令行方式完成的,而且有许多命令需要运行。
一、最重要的事情
1、安装Ubuntu Server 6.06 LTS
你需要做的第一件事情是安装Ubuntu Server 6.06 LTS。好消息是对这个版本的支持直至2001年,所以你不必担心在安全漏洞出现时没有补丁可打。一旦你下载了ISO镜像文件,请用K3B(或其它类似的工具)来刻录光盘。下面的工作就是准备安装服务器了。(注意:这是一个纯文本的安装。)
因为你要使用Ubuntu,所以你将会大量地使用sudo命令。这里将不可能存在root口令,不过你为所创建的用户(在安装期间创建的)所创建的口令也就是你要用的口令。但在笔者用Ubuntu和sudo时,总是创建一个root 口令,因为在进行某些应用程序的安装时(或在配置MySQL时)它会省去不少问题。为此,请运行sudo passwd命令,并输入新的“root”口令。一旦完成,你就可以大展拳脚了。
2、以SSH方式登录
下面你要做的事情是通过SSH设置远程管理。如果你需要远程管理这个服务器,你可能就需要安装这个功能。为此,运行下面的这个命令:sudo apt-get install ssh openssh-server。笔者经常进行这种安装(通过SSH)的一个主要原因是因为笔者需要搜索一些东西的话,就不必反复地在机器之间切换。既然安装了SSH,下面就到这台可以访问网络计算机上,通过SSH登录到Ubuntu服务器上。现在你可以继续阅读这篇文章,同时进行安装。
二、准备软件安装:对源的处理
我们要使用apt-get命令来安装软件。为此,你必须首先编辑源以便能够找到恰当的软件包。为此,执行下面的命令:
备份你的原始源列表:
sudo cp /etc/apt/sources.list /etc/apt/sources.list.BACKUP
现在你必须浏览源列表,并去掉sources.list文件中所列示的所有项目的注释。请转向/etc/apt,打开sources.list文件,清除所有的“#”,以去掉对所有源的注释。或者你可以运行下面的命令:
sudo sed -i -e "s/# deb/deb/g" /etc/apt/sources.list
现在我们必须用下面的命令更新apt源:
sudo apt-get update
在你开始安装应用程序之前的最后一步是:你必须能够从源进行编译。默认情况下,Ubuntu 6.06是不能这样做的。因此,为了让服务器能够做这个操作,请执行这个命令:
sudo apt-get install build-essential
在这步完成之后,你就可以准备安装了。 |
|