Основные концепции в firewalld
Прежде чем обсуждать фактическое использование утилиты для управления конфигурацией брандмауэра, мы должны познакомиться с несколькими концепциями, которые вводит этот инструмент.
Демон управляет группами правил, используя элементы, называемые зонами. Зоны представляют собой набор правил, который определяет разрешенный трафик в зависимости от уровня доверия в сети. Зоне назначаются сетевые интерфейсы, определяющие поведение, которое должен разрешать брандмауэр.
Такая гибкость позволяет легко изменять правила в зависимости от среды, особенно в случае с компьютерами, которые часто перемещаются между сетями (например, с ноутбуками). Вы можете использовать более строгие правила, например, запретить большую часть трафика в публичных сетях WiFi и ввести менее строгие ограничения для домашней сети. Для сервера эти зоны не так важны, поскольку его сетевая среда редко изменяется, если это вообще происходит.
Вне зависимости от того, насколько динамична ваша сетевая среда, вам будет полезно познакомиться с общей идеей, лежащей в основе заданных зон . Заданные зоны в упорядочены от наименее доверенных к наиболее доверенным:
drop: самый низкий уровень доверия. Все входящие соединения отбрасываются без ответа и разрешаются только исходящие соединения.
block: аналогично вышеописанному, но запросы входящих соединений не просто отбрасываются, а отклоняются с сообщением или .
public: публичные сети, к которым нет доверия. Вы не доверяете другим компьютерам, но можете разрешать отдельные входящие соединения на разовой основе.
external: внешние сети, если вы используете брандмауэр в качестве шлюза. Эта зона настроена для маскировки NAT, чтобы ваша внутренняя сеть оставалась частной, но доступной.
internal: другая сторона внешней зоны, используемая для внутренней части шлюза. Компьютеры в основном достойны доверия, доступны некоторые дополнительные службы.
dmz: используется для компьютеров в ДМЗ (изолированные компьютеры, у которых нет доступа к остальной части вашей сети). Разрешены только некоторые входящие соединения.
work: используется для рабочих компьютеров. Большинство компьютеров в сети являются доверенными. Могут быть разрешены некоторые дополнительные службы.
home: домашняя среда. Обычно подразумевается, что вы доверяете большей части других компьютеров и что будут приниматься запросы еще нескольких служб.
trusted: все компьютеры в сети являются доверенными
Наиболее открытый из доступных вариантов, который следует использовать с осторожностью.
Для использования брандмауэра можно создавать правила и изменять свойства зон, а также назначать сетевые интерфейсы в наиболее подходящие зоны.
В firewalld правила можно применять к текущему набору правил времени исполнения или использовать как постоянные. При добавлении или изменении правила по умолчанию изменяется только работающий брандмауэр. После перезагрузки системы или службы сохраняются только постоянные правила.
Большинство операций могут принимать флаг , указывающий на необходимость применения изменений к постоянной конфигурации. Кроме того, текущую конфигурацию брандмауэра можно сохранить в постоянной конфигурации с помощью команды .
Такое разделение конфигурации времени исполнения и постоянной конфигурации позволяет безопасно тестировать правила на активном брандмауэре и просто перезагружать его в случае возникновения проблем.
Ajenti
Визитной карточкой Ajenti изначально был красивый интерфейс, использующий технологию AJAX. Первое время набор функций ограничивался системными параметрами: сеть, firewall, файл hosts, монтирование дисков, настройка DNS и NFS, учетные записи пользователей и групп, cron, просмотр логов, управление пакетами. Понятная среда, не перегруженная установками, позволяла проще освоиться даже неопытному админу. Необходимо лишь заполнить предложенные поля, а мастер проверит установки и подстрахует в случае ошибок. Риск получить неработающую конфигурацию минимален. Но знать, что делать, все-таки нужно, так как в Ajenti нет пошаговых мастеров, которые помогут настроить сервис, просто отвечая на вопросы. Также администратору показываются различные графики: загрузка процессора, ОЗУ и сетевых интерфейсов, состояние swap и другие.
Интерфейс локализован и не перегружен, Dashboard можно полностью подстроить под себя, размещая виджеты по своему усмотрению. Распространяется по условиям GNU GPL. Разработчики по заявке могут легко адаптировать Ajenti под любые системы. Встраивание в коммерческие продукты требует определенных отчислений. К плюсам Ajenti можно отнести небольшие размеры и низкие системные требования: около 30 Мбайт ОЗУ и 75 Мбайт HDD. Написан на Python с фреймворком gevent и JavaScript с AngularJS.
Официально поддерживаются Debian, Ubuntu, RHEL, CentOS, Gentoo и FreeBSD. Для этих систем имеются готовые пакеты и репозитории, а также установочный скрипт, при помощи которых установить Ajenti не составляет проблем. Для остальных *nix-систем доступен исходный код. Весь процесс самостоятельной сборки описан в документации, и особых затруднений она не вызывает.
После установки будет сгенерирован самоподписанный сертификат и в консоли выведется информация для входа (по умолчанию root/admin). Ajenti слушает на HTTPS/8080-м порту, поэтому набираем в браузере https://localhost:8000.
Возможности Ajenti расширяются при помощи плагинов
Cockpit
Самый молодой проект обзора — ему всего два года. Cockpit — веб-панель управления серверами с открытым исходным кодом, разрабатываемая компанией Red Hat. Предназначена для контроля работы и состояния систем, развертывания услуг на базе контейнеров. С помощью понятного интерфейса очень просто выполнить основные задачи администрирования: здесь и запуск и остановка служб (systemd), и настройка устройств хранения (настройка LVM, создание RAID), конфигурация сети (bonding, VLAN, bridge), управление учетными записями пользователей, присоединение в домен, управление пользовательскими SSH-ключами, мониторинг нагрузки в реальном времени, проверка логов и многое другое. Особенно хочется выделить возможность работать с контейнерами Docker. Чтобы управлять несколькими серверами из одной веб-консоли, к Dashboard можно подключить панель управления кластерами Kubernetes или OpenShift v3. К несомненным плюсам Cockpit относится возможность использовать для управления сервером одновременно терминал и веб-браузер. В отличие от остальных решений, здесь такой подход не вызывает никаких проблем. Можно отдавать команды в консоли, а отслеживать результат в Cockpit, или наоборот. Более того, сам Cockpit предоставляет терминал, поэтому управлять сервером можно полностью из браузера.
Веб-служба Cockpit (Cockpit-ws), установленная на базовой системе и использующая сокет systemd, позволяет получать доступ к интерфейсу локальным пользователям с помощью PAM (настройки обычно /etc/pam.d/cockpit). На удаленных системах должен работать SSH-сервер. Для подключения можно использовать связку логин/пароль, возможен SSO-вход на основе Kerberos или использование публичного ключа. Предусмотрена возможность входа на удаленный сервер с текущими данными пользователя.
Управление производится при помощи веб-панели. Интерфейс не локализован, но, в принципе, это трудностей не создает, так как все параметры понятны и обычно требуется нажать ссылку или заполнить предложенные поля.
Минус Cockpit — привязка к systemd. В дистрибутивах, использующих другой менеджер служб, будут работать не все функции. Хотя это не мешает собрать все серверы под один интерфейс для более удобного доступа к ним.
Доступен в репозитории дистрибутива Fedora с версии 21. Кроме исходных текстов, на сайте проекта можно найти ссылки на репозитории разработчиков для Fedora, RHEL/CentOS, Arch Linux и Ubuntu. Версия Ubuntu не указана, но, если учесть привязку к systemd, без напильника будет работать в 15.04/15.10. Запустить можно и в более ранних версиях, использующих Upstart, в том числе и в популярной на серверах 14.04 LTS, но некоторые функции работать не будут. Установка:
Cockpit позволяет управлять несколькими серверами
Другие статьи в выпуске:
Cockpit and User Accounts
Cockpit uses your Linux login credentials, so there’s no need to configure users within it. To log in to Cockpit, you just use your username and current password. If you have accounts on different Linux computers that use the same username and password, Cockpit will use those credentials to connect to the remote machines.
Of course, using the same password on different computers is a security risk and is considered a bad practice. However, if you’re working solely with local computers that aren’t exposed to the internet, you might conclude the risk is small enough.
A far superior solution, though, is to set up SSH keys on each computer, and then allow Cockpit to use those to connect to the remote computers.
RELATED: How to Create and Install SSH Keys From the Linux Shell
Навигация по интерфейсу кокпита
Боковая панель слева содержит следующие вкладки, каждая из которых отображает определенный набор информации, относящейся к вашему серверу.
Обзор
Вкладка Обзор – одна из самых важных страниц в Cockpit, поскольку она предоставляет вам наиболее важную интересующую информацию, связанную с сервером, такую как имя хоста, использование ЦП и информацию об ОЗУ.
Журналы
На странице журналов перечислены все важные системные журналы, доступные на вашем сервере Ubuntu. Кроме того, вы можете фильтровать журналы, которые хотите просмотреть, по дате, серьезности или услуге.
Место хранения
На странице « Хранилище» вы можете получить представление о ваших устройствах хранения и подключенных дисках, включая их размеры, как если бы они отображались с помощью инструмента командной строки Linux df . Также на этой странице система будет отображать журналы, относящиеся к хранилищу.
Сети
На странице « Сеть» отображается основная информация о сети и ваш IP-адрес. Вы также можете использовать эту страницу для настройки сетевого моста или добавления VLAN.
учетные записи
На этой странице отображается список пользователей, доступных на вашем сервере. Вы также можете использовать эту вкладку для управления настройками учетной записи пользователя, такими как добавление новой учетной записи пользователя на ваш сервер, сброс пароля, добавление ключей SSH и т. Д.
Услуги
На вкладке « Службы » отображаются важные системные службы. Вы также можете искать службы по имени или фильтровать службы по статусу, то есть включены, отключены или статические. Щелчок по услуге дает вам больше информации об этой услуге и позволяет изменить ее статус. Cockpit также будет отображать журналы, относящиеся к определенной услуге.
Терминал
Другой важной особенностью Cockpit является то, что он предоставляет вам окно терминала, которое позволяет вам запускать любую команду Linux по вашему выбору. Это означает, что вы легко сможете запускать команды Linux на планшете или смартфоне
Step 2) Access the cockpit web console
To access Cockpit, launch your browser and browse the link shown below.
https://server-IP:9090
If you are having any trouble accessing the Cockpit web console, you need to open port 9090 on the firewall. This is the port that Cockpit listens on. If you are running a UFW firewall, execute the command:
$ sudo ufw allow 9090/tcp $ sudo ufw reload
If it is your first time logging in, you will find a warning that you are about to browse a risky site. But worry not. The reason you are getting such a ‘warning’ is that Cockpit is encrypted using a self-signed SSL certificate which is not recognized by CA (Certificate Authority ).
To get around this restriction, click the ‘Advanced’ button.
Next, click on ‘Accept the Risk and Continue’ to proceed to the Cockpit login page.
At the login screen, provide your username and password and click ‘Login’ to access the cockpit dashboard.
This lands you on this ‘Overview’ section that gives you a glance at your system’s performance metrics.
Since our interest is in creating and managing virtual machines, click on the ‘Virtual machines’ option on the left sidebar as shown.
Existing virtual machines will be listed. However, since we are starting from scratch our Virtual machines section is blank. At the far right we are presented with two options ‘Create VM’ and ‘Import VM’.
Best Opensource Cockpit Alternative for server management
When it comes to getting a perfect alternative to Cockpit it is difficult to find one exactly like it. Because most of them are control panel with heavyweight and meant generally for web hosting services instead of simply managing a Server. Thus, we tried to list some closest possible options. However, if you are looking for a tool to manage a hosting server, then see our 10 Best open-source web hosting control panel list…
1. aaPanel
aaPanel is the best Cockpit alternative to manage server services and files. Just like Webmin, it can also manage web host services such as databases, websites, and more. It is light in weight and simple to use. After installing aaPanel, setting and running up a website become very easy, with just one click we can set up LANMP/LAMP (Linux, Apache/Nginx, MySQL, PHP) or OpenSpeed Lite environment for testing or developing web apps. With the help of aaPanel, the headache of running various commands for creating databases, creating and managing Docker, website, FTP server, and Python project will not be anymore and all of them can be managed using just a few clicks of the mouse.
To extends features a wide range of extensions are available to enable right from aaPanel Dashboard.
Key Features:
- The modular framework thus supports extensions
- Resource monitoring
- free anti-spam gateway, Nginx WAF, SSH login reminder, and security extensions
- online inbuilt code editor
- One-Click Deployment of WordPress, Laravel, Joomla, Drupal, and Roundcube
- Creatable and manageable Docker
- Terminal access
Learn – How to install aaPanel Server Manager CentOS or Ubuntu
2. Ajenti Server Admin Panel
Like Cockpit, Ajenti is also a lightweight Server admin management panel installed on all popular Linux operating systems, including Ubuntu and CentOS. It is an open-source project and allows managing and configuring various server functions such as firewalls, File systems, Services, Hosts, NameServers (if you using a webserver), Network, Packages Cron jobs, and more. Ajenti also offers a Terminal option to directly access the command-line interface and issue various commands to the server.
Key Features:
- Offers plugins for system and software configuration, monitoring, and management.
- Easily extensible using Python
- Easy to install
- Doesn’t override with existing server configuration
- Responsive and modern web interface
- Consume less commuting power
- Based on Google’s AngularJS
3. Webmin as Cockpit alternative
Webmin doesn’t need an introduction, it is one of the popular server management and can be considered as the best Cockpit alternative to performing the various tasks on a server using a web browser, remotely. It supports all modern browsers and with help of just a few clicks, one can set key server functions such as Apache, File sharing, DNS, Database, and more. To extend the functionality, Webmin also offers modules integration.
Webmin package is available to install for both Deb and RPM-based systems such as Debian, Ubuntu, RHEL, CentOS, and other similar Linux.
Key Features:
- Managing records in the DNS domain
- Configuring a DHCP server
- Managing databases such as MySQL and PostgreSQL server
- Viewing Sendmail email aliases
- Configuring an SSH server
- Support Windows clients with Samba
- Allow Scheduled backup
- Two-Factor Authentication
- Allows third-party modules integration to extend functions
- Webmin on Centos: How to install and set up…
- How to install Webmin on Ubuntu
4. froxlor Server Management Panel
Froxlor is another open-source tool to manage server and PHP-based web applications running on it. It is more like a popular Cpanel for hosting servers and provides features that will help control a server via the web interface. It let users run remotely auto-update, corn jobs, rebuild configuration files, managing Apache & Nginx, Database, Domains, and more… Although it is not a direct alternative to Cockpit but a good option for hosting servers.
Key Features:
- Support multiple PHP configuration
- Allow accessing all major functions via API
- MySQL management
- Directory protection & settings
- Manage reseller resources and limit
- Themeable interface
- Quota management
See:
- How to use Cockpit management software in Linux
- How to install Cockpit CMS on Docker
- Install Cockpit on Ubuntu 19.04 Linux to manage a server remotely
- How to enable Cockpit on CentOS 8 Linux or Stream
Доступ к вашему серверу с помощью Cockpit
После того, как Cockpit будет запущен и запущен, вы сможете получить доступ к своему серверу из всех основных веб-браузеров, включая Firefox, Chrome и Microsoft Edge, в любой операционной системе по вашему выбору.
Запустите свой любимый браузер и перейдите по следующему URL-адресу:
… где ipaddress – это IP-адрес вашего сервера Ubuntu. Вы можете легко проверить IP-адрес в вашей системе Linux с помощью команды host.
Ваш браузер может попытаться предупредить вас о том, что сайт небезопасен, поскольку Cockpit использует самозаверяющий сертификат. Чтобы обойти это предупреждение, сначала нажмите кнопку « Дополнительно» . Затем нажмите « Принять риск» и «Продолжить», чтобы получить доступ к интерфейсу Cockpit.
После принятия самозаверяющего сертификата браузер отобразит экран входа в систему, похожий на показанный ниже. Введите имя и пароль для входа на сервер. На странице входа в систему кратко отображается имя сервера и операционная система сервера, которую вы используете, в данном случае Ubuntu Server 20.04 LTS.
После входа в систему система представит вам обзорный экран для управления вашим сервером с помощью Cockpit.
Как видите, графический интерфейс Cockpit очень интуитивно понятен и предоставляет вам огромные возможности для управления вашим сервером и проверки его статуса. Например, вы можете перезапустить сервер со страницы обзора пульта управления. Вы также будете уведомлены о важных вещах на главной странице, таких как обновления программного обеспечения и использование ресурсов.
Launching Cockpit
To start using Cockpit, open your browser, type the following in the address bar, and then press Enter:
localhost:9090
You should then see the Cockpit login screen. If an error appears telling you the site can’t be reached or the connection was refused, you might have to type the following commands to enable and start the Cockpit daemon:
sudo systemctl enable cockpit
sudo systemctl start cockpit
When Cockpit launches, the login screen appears; just log in with your existing Linux credentials.
To connect to other computers using these same credentials, select the checkbox next to “Reuse My Password for Remote Connections.” If you’re using SSH keys to connect to remote computers or won’t be remotely monitoring other machines at all, you can leave this box unchecked.
Что нового
Рассмотрим основные изменения, которые влияют на процесс настройки операционной системы и работы с ней.
1. Установка пакетов
Пакетный менеджер.
Пакетный менеджер YUM заменен на DNF. Последний потребляем меньше ресурсов и работает быстрее. Синтаксис установки пакетов, во многом, остается таким же, например:
dnf install bind
Однако, команда yum install bind также отработает — yum является алиасом для dnf, поэтому привычный формат установка пакетов и обновлений сохранен.
Репозитории.
Для установки и обновления пакетов используются базовый репозиторий и BaseOS и модульный AppStream. Базовый содержит минимально необходимый для работы набор пакетов, AppStream — все остальное. Более того, AppStream может использоваться в двух форматах — классическом RPM и модульном.
Модульный репозиторий содержит наборы с альтернативными версиями пакетов — таким образом можно установить программное обеспечение либо основной версии (которая по умолчанию поддерживается релизом CentOS), либо альтернативную (она тоже официально поддерживается операционной системой). Набор пакетов в модульном репозитории представляет из себя логическую единицу для установки приложения — само приложение, набор библиотек и инструментов для его работы. Все наборы тестируются перед размещением в репозиторий.
2. Сетевые настройки
Управление сетью.
Для управления сетью используется только NetworkManager. Скрипты ifup и ifdown объявлены как устаревшие. Для перезапуска сети теперь используется команда:
systemctl restart NetworkManager
* раньше это можно было сделать командой systemctl restart network.
Брандмауэр.
Пакетный фильтр nftables пришел на смену старому доброму iptables. firewalld переведён на использование nftables. Также появились утилиты iptables-translate и ip6tables-translate для конвертации старых правил под iptables.
TCP/IP.
TCP стек обновлен до версии 4.16. Разработчики отмечают увеличение скорости при обработке входящих соединений.
3. Установка
Инсталлятор.
Добавлена возможность установки системы на накопители NVDIMM. Инструмент Image Builder позволяет пользователям создавать настраиваемые системные образы в различных форматах, включая изображения, подготовленные для развертывания в облаках различных поставщиков.
4. Безопасность
Политики настройки криптографических подсистем.
Пакет OpenSSL обновлен до версии 1.1.1 с поддержкой TLS 1.3. Это позволит не пересобирать некоторые пакеты (например nginx для включения http/2).
Также с помощью команды update-crypto-policies можно выбрать один из режимов выбора криптоалгоритмов.
PKCS#11.
Включена поддержка смарткарт и HSM c токенами PKCS#11;
5. Виртуальзация
QEMU.
QEMU обновлен до версии 2.12. Виртуальные машины создаются с поддержкой PCI Express и с эмуляцией чипсета ICH9. Реализован режим sandbox-изоляции для ограничения системных вызовов.
Утилита virt-manager является устаревшей и вместо нее рекомендуется использовать веб-интерфейс Cockpit.
6. Веб-разработка
Языки программирования.
По умолчанию из репозитория теперь устанавливаются:
- php7.2 вместо php5.4
- Python 3.6 вместо 2.7
- Ruby 2.5
- Perl 5.26
- SWIG 3.0
Базы данных.
Также из коробки будут устанавливаться:
- MariaDB 10.3
- MySQL 8.0
- PostgreSQL 10 или PostgreSQL 9.6
- Redis 5
Веб-серверы.
Версии устанавливаемых по умолчанию пакетов — Apache 2.4 и nginx 1.14.
7. Графический интерфейс
Desktop.
По умолчанию устанавливается графический интерфейс GNOME версии 3.28. В качестве протокола организации графического сервера используется Wayland. По сравнению с Xorg, Wayland задействует меньше программных и аппаратных ресурсов и считается, что работает быстрее. Однако, использование Xorg в CentOS 8 также возможно.
Пакеты KDE удалены из состава дистрибутива.
Cockpit.
Cockpit — веб-интерфейс для управления CentOS. Он может оказаться полезным новичкам. Для его запуска нужно выполнить несколько несложных команд.
Установка:
dnf install cockpit
Настройка брандмауэра:
firewall-cmd —permanent —add-port=9090/tcp
firewall-cmd —reload
Запуск:
systemctl enable —now cockpit.socket
systemctl start cockpit
Можно заходить на интерфейс по адресу https://<IP-адрес компьютера>:9090/. В качестве логина используем системную учетную запись, например, root.
Весь список изменений можно найти на сайте Red Hat.
Vesta CP
Vesta CP — панель управления сервером, написана сисадмином для сисадминов и ориентирована в первую очередь на хостеров, но может использоваться для наглядного управления сервисами. В процессе разработки (с 2007 года) переписывалась несколько раз, вероятно поэтому результат сегодня признают многие админы и предлагают своим пользователям хостеры. Vesta базируется на философии UNIX. Функциональность заложена в отдельных скриптах (на сегодня их более 350), каждый из которых выполняет только определенную работу (собственно, и проект начался со скрипта для создания виртуального хоста Apache). В принципе, их названия можно не знать, но часть операций администрирования (например, добавление СУБД, находящейся на другом узле) выполняется исключительно из командной строки, да и некоторые команды сами по себе могут помочь в администрировании. Данные хранятся в текстовых файлах. Все это объединено в понятном интерфейсе.
Интерфейс локализован, в настройках легко разобраться даже новичку. Все основные задачи собраны в двух меню. Одно управляет основными приложениями и состоит из семи пунктов (User, Web, DNS, Mail, DB, Cron и Backup). Через верхнее меню можно указывать IP-адрес, просматривать графики нагрузки, статистику и журналы работы Vesta, управлять сервисами, настраивать правила iptables и обновлять саму веб-панель. В настоящее время Vesta позволяет управлять веб- и почтовыми доменами, создавать базы данных и задания Cron, редактировать DNS-записи. Администрировать сервер при помощи Vesta могут несколько пользователей. Многие операции (например, создание виртуального веб-сервера) выполняются в один клик, фактически запускается один из скриптов, затем остается только заполнить поля, все остальное Vesta сделает сама. Не нужно вникать в особенности сервиса. В случае неудачи выводится подробное сообщение об ошибке. Так же легко можно удалить или отключить виртуальный сервис. Возможности расширяются при помощи плагинов. Проект предлагает коммерческий плагин, реализующий функции файлового менеджера и SFTP.
Поддерживаются RHEL/CentOS от 5, Debian от 6, Ubuntu от 12.04. Разработчики предлагают скрипт установки, который в процессе установит готовый набор: nginx, Apache, Exim, Dovecot, MySQL, vsftpd и firewall + fail2ban.
Далее будут заданы несколько вопросов и загрузятся файлы. Для подключения следует использовать HTTPS, 8083-й порт. Если планируется использовать другие серверы, на сайте проекта нужно сгенерировать установочный скрипт по требуемой конфигурации, указав сервер веб, mail, FTP, firewall, DNS, дисковые квоты, имя узла и прочие параметры. Подобные пакеты можно создавать, сохранять и затем распространять среди пользователей и в уже установленной Vesta.
Меню установки Vesta CP
Просмотр графиков нагрузки в Vesta CP
Создание собственных зон
Хотя большинству пользователей будет достаточно заданных зон, иногда может быть полезно определить собственные зоны с названиями, соответствующими их функции.
Например, вы можете захотеть создать для своего веб-сервера зону с именем publicweb. При этом вы можете также захотеть использовать другую зону для службы DNS в вашей частной сети. Эту зону вы можете назвать privateDNS.
При добавлении зоны вы должны добавить ее в постоянную конфигурацию брандмауэра. Затем вы можете произвести перезагрузку для активации конфигурации для текущего сеанса. Например, мы можем создать две описанные выше зоны, введя следующие команды:
Вы можете проверить их наличие в постоянной конфигурации с помощью следующей команды:
Как указывалось ранее, пока они будут недоступны в работающем брандмауэре:
Перезагрузите брандмауэр, чтобы добавить эти зоны в активную конфигурацию:
Теперь вы можете назначать в зоны соответствующие службы и порты. Обычно лучше всего изменять активный брандмауэр и сохранять изменения в постоянной конфигурации только после тестирования. Например, для зоны publicweb вы можете захотеть добавить службы SSH, HTTP и HTTPS:
Для зоны privateDNS можно добавить службу DNS:
Затем мы можем изменить интерфейсы на новые зоны, чтобы протестировать их:
Сейчас вы можете протестировать свою конфигурацию. Если эти значения будут работать, эти правила можно будет добавить в постоянную конфигурацию. Для этого можно снова запустить все команды с флагом , но в этом случае мы используем флаг для полного сохранения активной конфигурации как постоянной:
Сохранив правила в постоянной конфигурации, перезагрузите брандмауэр, чтобы проверить сохранение изменений:
Проверьте правильность назначения зон:
Убедитесь, что в обеих зонах доступны соответствующие службы:
Вы успешно настроили собственные зоны! Если вы захотите задать одну из этих зон по умолчанию для других интерфейсов, используйте для настройки параметр :
Step 1) Install additional dependencies
To manage virtual machines, we first need to install the cockpit-machines package. This is the Cockpit user interface for virtual machines. The package communicates with the libvirt virtualization API which handles platform virtualization.
To install the cockpit-machines package on Ubuntu / Debian, run the command:
$ sudo apt install cockpit-machines
For CentOS 8.x, RHEL 8.x and Rocky Linux 8, execute the command:
$ sudo dnf install cockpit-machines
Once installed, restart the Cockpit utility.
$ sudo systemctl restart cockpit
And check to confirm whether is it running:
$ sudo systemctl status cockpit
cPanel
cPanel — это современная и многофункциональная панель управления хостингом на сервере Linux. Она имеет современный, очень удобный и красивый интерфейс, в котором разберется любой новичок. Эта панель очень часто встречается на различных веб-хостингах.
cPanel дает полный контроль над доменами и поддоменами, базами данных, файлами на сервере, почтовыми ящиками и даже сертификатами безопасности SSL. Поддерживается только веб-сервер Apache. На боковой панели вы можете наблюдать за текущей загрузкой системы. А в настройках можно изменить внешний вид интерфейса и применить другую тему. Только один минус, за использование панели придется раз в месяц платить абонентную плату.
Выбор зон для интерфейсов
Если вы не настроили сетевые интерфейсы иным образом, каждый интерфейс будет помещен в зону по умолчанию при запуске брандмауэра.
Для перемещения интерфейса между зонами во время сеанса следует использовать параметр в сочетании с параметром . Как и для всех остальных команд, изменяющих брандмауэр, вам потребуется использовать .
Например, интерфейс можно переместить в зону home с помощью следующей команды:
Примечание. При перемещении интерфейса в новую зону следует помнить, что это может повлиять на работоспособность служб. Например, в данном случае мы перемещаемся в зону home, в которой поддерживается SSH. Это означает, что наше соединение не должно быть отброшено. В некоторых других зонах SSH по умолчанию не поддерживается, при переходе в такую зону ваше соединение будет разорвано, и вы не сможете снова войти на сервер.
Чтобы убедиться в успешности операции мы можем снова запросить активные зоны:
Если все интерфейсы могут быть хорошо обработаны в одной зоне, проще всего определить наиболее подходящую зону как зону по умолчанию, а затем использовать эту зону для конфигурации.
Вы можете изменить зону по умолчанию с помощью параметра . При этом немедленно изменятся все интерфейсы, использующие зону по умолчанию: