Zeroshell היא הפצת לינוקס Live CD נועדה לספק שירותי הרשת העיקריים LAN דורש:
הנה כמה תכונות עיקריות של "ZeroShell":
· Kerberos 5 אימות או עם תעודות X.509;
· LDAP, ש"ח ואישור RADIUS;
· רשות אישורי X509 להנפקה וניהול של תעודות אלקטרוניות;
· Unix ו- Windows LDAP Active Directory באמצעות יכולת פעולה הדדית וKerberos 5 אימות תחום צלב;
· נתב עם מסלולים סטטיים ודינמיים (RIPv2 עם MD5 או אימות טקסט רגיל ואלגוריתמי פיצול אופק ומורעל הפוך);
· גשר 802.1D עם פרוטוקול עץ פורש כדי למנוע לולאות אפילו בנוכחות של נתיבים יתירים;
· LAN הוירטואלי 802.1Q (VLAN מתויג);
· מסנן חומת אש Packet וStateful Packet Inspection (SPI) עם מסננים החלים בשני הניתוב וגישור על כל הסוג של ממשקים כוללים VPN ו- VLAN;
· NAT להשתמש בכתובות LAN פרטיות כיתה מוסתרות על WAN עם כתובות ציבוריות;
· יציאת TCP / UDP העברה (PAT) כדי ליצור שרתים וירטואליים. משמעות דבר היא כי אשכול שרתים אמיתי יהיה לראות רק עם אחד כתובת ה- IP (IP של השרת הווירטואלי) וכל בקשה תופץ עם אלגוריתם Round Robin לשרתים האמיתיים;
· שרת DNS Multizone עם ניהול אוטומטי של in-addr.arpa ההפוך ההחלטה;
· שרת DHCP משנה רב עם האפשרות לתקן IP בהתאם לכתובת MAC של הלקוח;
· Host-to-lan VPN עם L2TP / IPsec בי L2TP (Layer 2 Tunneling Protocol) מאומת עם שם המשתמש וסיסמא v5 Kerberos היא כמוס בתוך IPsec מאומת עם IKE שמשתמש באישורי X.509;
· Host-to-lan VPN עם פרוטוקול PPTP (נקודה לנקודת Tunneling Protocol), MPPE (Microsoft נקודה לנקודת הצפנה) ונהור GRE
· Lan-to-lan VPN עם אנקפסולציה של יחידות נתוני Ethernet בSSL / TLS מנהרה, עם תמיכה ב802.1Q VLAN והגדרה במליטה לאיזון עומסים (להקת גידול) או עמידות בפני תקלות (עליית אמינות);
· הלקוח PPPoE לחיבור לרשת ה- WAN באמצעות קווי ADSL, DSL וכבלים (דורש מודם מתאים);
· הלקוח Dynamic DNS משמש להגיע בקלות המארח בWAN גם כאשר IP הוא דינמי;
· NTP (Network Time Protocol) הלקוח ושרת לשמירה על שעונים מארח מסונכרן;
· שרת RADIUS למתן אימות מאובטחת וניהול אוטומטי של מפתחות WEP לרשתות 802.11b, 802.11g ו802.11a Wireless תמיכה בפרוטוקול 802.1x בEAP-TLS, EAP-TTLS ו- PEAP צורה או האימות פחות מאובטחת של הלקוח כתובת MAC; WPA ו- WPA2 עם TKIP עם CCMP (תלונת 802.11i) נתמך מדי; שרת RADIUS יכול גם, בהתאם לשם המשתמש, קבוצה או כתובת ה- MAC של המבקש, לאפשר הגישה על VLAN 802.1Q מראש.
· שרת Syslog לקבלה וקטלוג יומני המערכת מיוצרים על ידי המארחים המרוחקים, כולל מערכות יוניקס, נתבים, מתגים, נקודות גישה לאינטרנט אלחוטי, מדפסות רשת ועוד בקנה אחד עם פרוטוקול syslog;
· Arpwatch לפקח לניטור אירועי ARP ברשת המקומית כגון כפילות של כתובות IP, כפכפים ופגמים אחרים;
· שרת RADIUS למתן אימות מאובטחת וניהול אוטומטי של מפתחות הצפנה לרשתות 802.11b, 802.11g ו802.11a Wireless תמיכה בפרוטוקול 802.1x בEAP-TLS, EAP-TTLS ו- PEAP צורה או האימות פחות מאובטחת של הלקוח כתובת MAC; WPA ו- WPA2 עם TKIP עם CCMP (תלונת 802.11i) נתמך מדי; שרת RADIUS יכול גם, בהתאם לשם המשתמש, קבוצה או כתובת ה- MAC של המבקש, לאפשר הגישה על VLAN 802.1Q מראש;
· Captive Portal לתמוך בהתחברות לאינטרנט ברשתות אלחוטיות וקווים. Zeroshell פועל כשער לרשתות שבן הפורטל השבוי הוא פעיל, ובי את כתובות ה- IP (בדרך כלל משתייכות לרשתות משנה פרטיות) מוקצים באופן דינמי על ידי DHCP. לקוח שניגש רשת פרטית זה חייב לאמת את עצמו באמצעות דפדפן אינטרנט באמצעות שם משתמש וסיסמא 5 Kerberos לפני חומת האש של Zeroshell מאפשר לו לגשת לLAN הציבורי. שערים שבויים הפורטל משמשים לעתים קרובות כדי לספק גישה מאומתת אינטרנט בנקודות החמות בחלופה לפרוטוקול אימות 802.1X המסובך מדי כדי להגדיר למשתמשים. Zeroshell מיישם את הפונקציונליות של Captive Portal בצורה מקורית, ללא שימוש בתוכנות ספציפיות אחרות כמו NoCat או Chillispot;
· QoS (איכות השירות) ניהול ועיצוב תנועה לשלוט על תנועה ברשת צפופה. תוכל להבטיח את רוחב הפס המינימאלי, להגביל את רוחב הפס המקסימלי ולהקצות עדיפות לסוג תעבורה (שימושי ביישומי רשת חביון רגיש כמו VoIP). הכוונון הקודם יכול להיות מיושם על Ethernet ממשקים, רשתות VPN, גשרים וbondings VPN. ניתן לסווג את התנועה על ידי שימוש בשכבה 7 פילטרים המאפשרים Deep Packet Inspection (DPI) אשר יכול להיות שימושית לעיצוב יישומי VoIP וP2P;
· Host-to-lan VPN עם L2TP / IPsec בי L2TP (Layer 2 Tunneling Protocol) מאומת עם שם המשתמש וסיסמא v5 Kerberos היא כמוס בתוך IPsec מאומת עם IKE שמשתמש באישורי X.509;
· Lan-to-lan VPN עם אנקפסולציה של יחידות נתוני Ethernet בSSL / TLS מנהרה, עם תמיכה ב802.1Q VLAN והגדרה במליטה לאיזון עומסים (להקת גידול) או עמידות בפני תקלות (עליית אמינות);
נתב עם מסלולים סטטיים ודינמיים (RIPv2 עם MD5 או אימות טקסט רגיל ופיצול אופק ואלגוריתמים מורעלים הפוך);
גשר 802.1D עם פרוטוקול עץ פורש כדי למנוע לולאות אפילו בנוכחות של נתיבים יתירים;
· LAN הוירטואלי 802.1Q (VLAN מתויג);
· מסנן חומת אש Packet וStateful Packet Inspection (SPI) עם מסננים החלים בשני הניתוב וגישור על כל הסוג של ממשקים כוללים VPN ו- VLAN;
· ניתן לדחות או לעצב קובץ P2P שיתוף תנועה באמצעות מודול iptables IPP2P בחומת האש וQoS מסווג;
NAT להשתמש בכתובות LAN פרטיות כיתה מוסתרות על WAN עם כתובות ציבוריות;
· יציאת TCP / UDP העברה (PAT) כדי ליצור שרתים וירטואליים. משמעות דבר היא כי אשכול שרתים אמיתי יהיה לראות רק עם אחד כתובת ה- IP (IP של השרת הווירטואלי) וכל בקשה תופץ עם אלגוריתם Round Robin לשרתים האמיתיים;
· שרת DNS Multizone עם ניהול אוטומטי של in-addr.arpa ההפוך ההחלטה;
· שרת DHCP משנה רב עם האפשרות לתקן IP בהתאם לכתובת MAC של הלקוח;
· הלקוח PPPoE לחיבור לרשת ה- WAN באמצעות קווי ADSL, DSL וכבלים (דורש מודם מתאים);
· הלקוח Dynamic DNS משמש להגיע בקלות המארח בWAN גם כאשר IP הוא דינמי;
· NTP (Network Time Protocol) הלקוח ושרת לשמירה על שעונים מארח מסונכרן;
· שרת Syslog לקבלה וקטלוג יומני המערכת מיוצרים על ידי המארחים המרוחקים, כולל מערכות יוניקס, נתבים, מתגים, נקודות גישה לאינטרנט אלחוטי, מדפסות רשת ועוד בקנה אחד עם פרוטוקול syslog;
· Kerberos אימות 5 באמצעות KDC משולב ואימות צולבת בין העולמות;
· LDAP, ש"ח ואישור RADIUS;
· רשות אישורי X509 להנפקה וניהול של תעודות אלקטרוניות;
· יכולת פעולה הדדית של Active Directory Unix ו- Windows באמצעות LDAP וKerberos 5 אימות תחום צלב.
· התכונות הבאות תהיה זמינות בעתיד הקרוב וכלול ב1.0.0 השחרור:
שרת פרוקסי אינטרנט ולגרום לי אינטרנט מטמון ריכוזי אשר מסוגל לחסום את דפי האינטרנט המכילים וירוס. תכונה זו מיושמת באמצעות אנטי וירוס ClamAV וקלמארי שרת פרוקסי. שרת Proxy יכול להיות מוגדר לעבוד במצב proxy שקוף, שבו, אתה לא צריך להגדיר את דפדפני האינטרנט כדי להשתמש בו, אבל בקשות http ינותבו באופן אוטומטי לproxy.
Arpwatch צג לניטור אירועי ARP ברשת המקומית כגון כפילות של כתובות IP, כפכפים ופגמים אחרים;
Host-to-lan VPN עם פרוטוקול PPTP (נקודה לנקודת Tunneling Protocol), MPPE (Microsoft נקודה לנקודת הצפנה) ונהור GRE;
התכונות הבאות תהיה זמינות בגרסות הבאות חדשות יותר 1.0.0:
מצב HostAP לכרטיסי רשת אלחוטיים באמצעות Intersil Prism2 / 2.5 / 3 שבבים. במילים אחרות, תיבת Zeroshell עם אחד מכרטיסי WiFi כזה יכול להיות 802.11b IEEE / g נקודת הגישה מספקת אימות אמינה והחלפת מפתחות WEP דינמית על ידי פרוטוקולי 802.1X ו- WPA. כמובן, האימות מתבצעת באמצעות EAP-TLS ו- PEAP על שרת ה- RADIUS המשולב;
שרת v4 IMAP לנהל את תיבות הדואר עם האימות הניתנת על ידי שרת Kerberos 5 המשולב;
שרת SMTP לקבל, לשלוח מייל מסלול בהתאם למפת ניתוב SMTP מאוחסנת בשרת LDAP המשולב. מיילים הנכנסים וoutcoming הם דואר זבל וירוסים נבדק על ידי מסנני האנטי הספא ואנטי-הווירוס מעודכן אוטומטי מאינטרנט. יתר על כן, הלקוח נתמך הדינמי DNS, שמעדכן באופן אוטומטי שיא DNS MX, מאפשר לי שרת דואר לתחום גם אם כתובת WAN IP אינה מוקצה באופן סטטי.
אימות כרטיס חכמה באמצעות פרוטוקול PKINIT המשלב Kerberos 5 אישורי ותעודות X.509. למרבה הצער, בניגוד לתכונות האחרות, לא ניתן לתומכים באימות כרטיסים חכמים בזמן קצר כי MIT Kerberos v5 אינו מיישם פרוטוקול PKINIT עדיין.
Zeroshell היא הפצת CD Live, מה שאומר שזה לא הכרחי כדי להתקין אותו על הדיסק הקשיח שכן הוא יכול לפעול ישירות מCDROM שבו הוא מופץ. ברור, בסיס הנתונים, המכילים את כל הנתונים והגדרות, ניתן לאחסן על ATA, SATA, SCSI ודיסקי USB. ניתן להוריד כל תיקוני באגים ביטחון ממערכת העדכון האוטומטית דרך אינטרנט ומותקנים באתר. תיקונים אלה יוסרו באופן אוטומטי ממאגר המידע במהדורות הבאות של Zeroshell Live CD כבר מכילות את העדכונים.
זה זמין גם תמונת 512MB Compact Flash שימושי אם אתה צריך לאתחל התיבה שלך מהמכשיר הזה במקום מCDROM למשל בהתקנים המשובצים עבור מכשירי רשת. יש תמונת Compact Flash 400MB זמין לאחסון בתצורה ונתונים.
שם Zeroshell מדגיש את העובדה שלמרות שהיא מערכת לינוקס (administrable מסורתי מפגז), יכולים להתבצע בכל פעולות הממשל החוצה באמצעות ממשק אינטרנט: אכן, לאחר שהוקצתה כתובת IP באמצעות VGA או מסוף סדרתי, פשוט להתחבר לכתובת שהוקצתה באמצעות דפדפן כדי להגדיר את הכל. Zeroshell נוסה בהצלחה לעבוד עם Firefox 1.0.6+, Internet Explorer 6 ומעלה, Netscape 7.2+ דואר Mozilla 1.7.3+.
בניין Zeroshell
Zeroshell אינו מבוסס על הפצה שכבר קיימת כמו למשל Knoppix מבוסס על דביאן. המחבר לקט את כל התוכנות שההפצה מורכבת החל מקוד המקור במנות tar.gz או tar.bz2. Gcc מהדר וglibcs של GNU נאספו מדי ויש לי את השלב כביכול של bootstrap שבו הם עצמם קומפילציה מחדש יותר פעמים. זה היה הכרחי כדי לייעל את המהדר ולחסל את כל תלות מglibcs של המערכת שממנו האוסף הראשון התקיים. חלק מתסריטי האתחול, כמו גם ההנחיות ואחריו המחבר הם אלה של לינוקס מהתחלה.
רשימה של רכיבי קוד פתוחים
· לינוקס לליבת לינוקס;
· Httpd Apache לMIT krb5 ממשק אינטרנט מנהל לKerberos 5 אימות שרת;
· OpenLDAP לשרת LDAP;
· Ypserv שקל Server (YP);
· Openssl לSSL / TLS מנהרה וניהול CA;
· Freeradius לשרת RADIUS + EAP-TLS ו- PEAP (802.1x);
· Iptables עבור מסנן חומת אש Packet וStateful Packet Inspection (SPI), NAT וPort Forwarding (PAT);
· OpenVPN לVPN Ethernet LAN-to-lan עם תמיכת VLAN 802.1Q;
· לאגד לשרת DNS;
· סטיג Venaas'LDAP SD להשתמש backend LDAP לDNS לאגד באמצעות DHCP סכימת dNSZone לשרת DHCP;
· IPP2P מודול iptables לסיווג שיתוף קבצי peer-to-peer;
· Rp-pppoe ללקוח PPPoE לחיבור ADSL;
· Vconfig לTagged VLAN 802.1Q;
· גשר-utils לגישור 802.1D עם STP;
· Ppp לנקודה לנקודת חיבורי IP המשמשים לPPPoE ופרוטוקול PPTP;
· קואגה לפרוטוקול RIP גרסה 2 המשמשת לניהול ניתוב דינמי;
· NTP ללקוח והשרת לסינכרון שעון מערכת NTP;
· Sysklogd לשרת Syslog לרכישה והרישום של יומנים מקומיים ומרוחקים באמצעות פרוטוקול syslog;
· Arpwatch לניטור אירועי ARP כגון כפילות של כתובות IP, כפכפים ופגמים אחרים;
· Libpcap לספריות לכידת מנות בשימוש על ידי arpwatch;
· Lzo לדחיסה בזמן אמת בLan Lan לרשתות VPN;
· Wget להבטחת עדכון אוטומטי עם התיקונים שנמצאו בhttp://www.zeroshell.net/updates;
· Pciutils להכרה במודל של כרטיסי הרשת באפיק ה- PCI המותג ו;
· Ethtool להכרה במעמדו של הקשר הפיזי בחיבורי Ethernet;
· E2fsprogs לניהול מערכות הקבצים ext2 וext3;
· Reiserfsprogs לניהול מערכות הקבצים ReiserFS;
· Dosfstools לניהול FAT ו- FAT32 (DOS ו- Windows) מערכות קבצים;
· נפרד לניהול מחיצה. בpartprobe מסוים מאפשר צפייה מחיצות חדשות מבלי לבצע אתחול מחדש;
· Udev לניהול אוטומטי של devfs לhotplugs של דיסקי USB;
· Sudo להגברת ביטחון על ידי הפעלת Apache כתהליך ללא הרשאות והגדלת הרשאות רק אם הכרחי;
· Linux-PAM PAM ל( מודולים אימות נתקעים).
תגובות לא נמצא