ZeroShell เป็นกระจาย Linux สดซีดีที่มุ่งให้บริการเครือข่ายหลัก LAN ต้องใช้:
นี่คือบางส่วนคุณสมบัติที่สำคัญของ "ZeroShell" เป็น:
· Kerberos 5 การตรวจสอบหรือมีใบรับรอง X.509;
· LDAP, NIS และการอนุญาต RADIUS;
·อำนาจการรับรอง X509 ในการออกและการจัดการใบรับรองอิเล็กทรอนิกส์
· Unix และการทำงานร่วมกันของไดเรกทอรีที่ใช้งาน Windows โดยใช้ LDAP และ Kerberos 5 การตรวจสอบขอบเขตข้าม;
· Router กับเส้นทางแบบคงที่และแบบไดนามิก (RIPv2 กับ MD5 หรือการตรวจสอบข้อความธรรมดาและ Horizon แยกและพิษย้อนกลับขั้นตอนวิธี);
·สะพาน 802.1D กับโปรโตคอล Spanning ต้นไม้เพื่อหลีกเลี่ยงลูปแม้ในที่ที่มีเส้นทางที่ซ้ำซ้อน;
· 802.1Q แลนเสมือน (ติดแท็ก VLAN);
· Firewall กรองแพ็คเก็ตและ Stateful Packet Inspection (SPI) ที่มีตัวกรองที่ใช้บังคับในทั้งสองเส้นทางและการเชื่อมโยงกับชนิดของการเชื่อมต่อรวมทั้ง VPN และ VLAN ทั้งหมด;
· NAT จะใช้คลาสส่วนตัวที่อยู่ที่ซ่อนอยู่ในระบบ LAN WAN ที่มีที่อยู่ของประชาชน
· TCP / ส่งต่อพอร์ต UDP (PAT) เพื่อสร้างเซิร์ฟเวอร์เสมือน ซึ่งหมายความว่าเซิร์ฟเวอร์คลัสเตอร์จริงจะเห็นมีเพียงหนึ่งที่อยู่ไอพี (IP ของเซิร์ฟเวอร์เสมือน) และแต่ละคำขอจะกระจายด้วยวิธี Round Robin ไปยังเซิร์ฟเวอร์จริง
·เซิร์ฟเวอร์ DNS Multizone กับการจัดการอัตโนมัติมติกลับ in-addr.arpa;
·เซิร์ฟเวอร์ DHCP เครือข่ายย่อยหลายที่มีความเป็นไปได้ในการแก้ไขปัญหาไอพีขึ้นอยู่กับที่อยู่ MAC ของลูกค้า;
·โฮสต์เพื่อ LAN VPN กับ L2TP / IPsec ที่ L2TP (เลเยอร์ 2 Tunneling พิธีสาร) รับรองความถูกต้องด้วยชื่อผู้ใช้ Kerberos v5 และรหัสผ่านจะห่อหุ้มภายใน IPsec รับรองความถูกต้องกับ IKE ที่ใช้ใบรับรอง X.509;
·โฮสต์เพื่อ LAN VPN กับโปรโตคอล PPTP (Point to Point Tunneling พิธีสาร) MPPE (Microsoft Point to Point เข้ารหัส) และ GRE อุโมงค์
·ลานเพื่อ LAN VPN ที่มีการห่อหุ้มของดาต้าแกรมอีเธอร์เน็ตใน SSL / TLS อุโมงค์ด้วยการสนับสนุนสำหรับ 802.1Q VLAN และกำหนดค่าในพันธะสำหรับโหลดสมดุล (วงดนตรีเพิ่มขึ้น) หรือความอดทนความผิด (ความน่าเชื่อถือเพิ่มขึ้น);
·ลูกค้า PPPoE สำหรับการเชื่อมต่อ WAN ผ่าน ADSL, DSL และสายเคเบิล (ต้องใช้โมเด็มที่เหมาะสม);
·ลูกค้า DNS แบบไดนามิกที่ใช้ในการเข้าถึงได้อย่างง่ายดายเจ้าภาพใน WAN แม้ในขณะที่ไอพีเป็นแบบไดนามิก;
· NTP (Network Time Protocol) ไคลเอ็นต์และเซิร์ฟเวอร์สำหรับเก็บนาฬิกาโฮสต์ตรงกัน;
·เซิร์ฟเวอร์ RADIUS สำหรับการให้บริการตรวจสอบความปลอดภัยและการจัดการอัตโนมัติของคีย์ WEP เพื่อ 802.11b Wireless, 802.11g และเครือข่าย 802.11a สนับสนุนโปรโตคอล 802.1x ใน EAP-TLS, EAP-TTLS และ PEAP หรือแบบฟอร์มการตรวจสอบความปลอดภัยน้อยลง ลูกค้าที่อยู่ MAC; WPA กับ TKIP และ WPA2 กับ CCMP (ร้องเรียน 802.11i) ได้รับการสนับสนุนเกินไป เซิร์ฟเวอร์ RADIUS อาจขึ้นอยู่กับชื่อผู้ใช้กลุ่มหรือที่อยู่ MAC ของผู้ร้องขอให้เข้าถึง VLAN 802.1Q ที่ตั้งไว้ล่วงหน้า
·เซิร์ฟเวอร์ Syslog สำหรับการรับและรายการบันทึกของระบบผลิตโดยโฮสต์ระยะไกลรวมทั้งระบบ Unix, เราเตอร์สวิตช์จุดเชื่อมต่อ Wi-Fi, เครื่องพิมพ์เครือข่ายและอื่น ๆ เข้ากันได้กับโพรโทคอ syslog;
· arpwatch ตรวจสอบสำหรับการตรวจสอบเหตุการณ์ที่เกิดขึ้น ARP บน LAN เช่นการทำสำเนาของที่อยู่ IP, flip-flop และข้อบกพร่องอื่น ๆ
·เซิร์ฟเวอร์ RADIUS สำหรับการให้บริการตรวจสอบความปลอดภัยและการจัดการอัตโนมัติของคีย์การเข้ารหัสลับเพื่อ 802.11b Wireless, 802.11g และเครือข่าย 802.11a สนับสนุนโปรโตคอล 802.1x ใน EAP-TLS, EAP-TTLS และ PEAP หรือแบบฟอร์มการตรวจสอบความปลอดภัยน้อยลง ลูกค้าที่อยู่ MAC; WPA กับ TKIP และ WPA2 กับ CCMP (ร้องเรียน 802.11i) ได้รับการสนับสนุนเกินไป เซิร์ฟเวอร์ RADIUS อาจขึ้นอยู่กับชื่อผู้ใช้กลุ่มหรือที่อยู่ MAC ของผู้ร้องขอให้เข้าถึง VLAN 802.1Q ที่ตั้งไว้;
·เชลยพอร์ทัลเพื่อสนับสนุนการเข้าสู่ระบบเว็บบนเครือข่ายไร้สายและแบบใช้สาย ZeroShell ทำหน้าที่เป็นประตูสำหรับเครือข่ายที่พอร์ทัลเชลยมีการใช้งานและที่อยู่ IP (โดยปกติจะอยู่ในเครือข่ายย่อยเอกชน) ที่ได้รับมอบหมายแบบไดนามิกโดย DHCP ลูกค้าที่เข้าใช้เครือข่ายส่วนตัวนี้จะต้องตรวจสอบตัวเองผ่านเว็บเบราเซอร์ที่ใช้ Kerberos 5 ชื่อผู้ใช้และรหัสผ่านก่อนที่ไฟร์วอลล์ของ ZeroShell ช่วยให้สามารถเข้าถึง LAN สาธารณะ เกตเวย์พอร์ทัลเชลยมักจะใช้เพื่อให้การเข้าถึงอินเทอร์เน็ตในการตรวจสอบสิทธิฮอตสปอในทางเลือกให้กับโปรโตคอลการตรวจสอบ 802.1X ซับซ้อนเกินไปที่จะกำหนดค่าสำหรับผู้ใช้ ZeroShell ใช้ฟังก์ชันการทำงานของเชลยพอร์ทัลในทางพื้นเมืองโดยไม่ต้องใช้ซอฟแวร์ที่เฉพาะเจาะจงอื่น ๆ เช่น NoCat หรือ chillispot;
· QoS (Quality of Service) การจัดการและการจราจรการสร้างการควบคุมการจราจรบนเครือข่ายแออัด คุณจะสามารถที่จะรับประกันแบนด์วิธต่ำสุด จำกัด แบนด์วิดธ์สูงสุดและกำหนดลำดับความสำคัญของการเรียนการจราจร (มีประโยชน์ในการใช้งานเครือข่ายไวต่อความล่าช้าเช่น VoIP) การปรับจูนที่ก่อนหน้านี้สามารถนำมาใช้ในการเชื่อมต่ออีเธอร์เน็ต, VPNs สะพานและพันธะ VPN มันเป็นไปได้ที่จะจัดจราจรโดยใช้ชั้น 7 ฟิลเตอร์ที่ช่วยให้การตรวจสอบตลึก (DPI) ซึ่งจะเป็นประโยชน์ในการสร้างรูปร่าง VoIP และโปรแกรม P2P;
·โฮสต์เพื่อ LAN VPN กับ L2TP / IPsec ที่ L2TP (เลเยอร์ 2 Tunneling พิธีสาร) รับรองความถูกต้องด้วยชื่อผู้ใช้ Kerberos v5 และรหัสผ่านจะห่อหุ้มภายใน IPsec รับรองความถูกต้องกับ IKE ที่ใช้ใบรับรอง X.509;
·ลานเพื่อ LAN VPN ที่มีการห่อหุ้มของดาต้าแกรมอีเธอร์เน็ตใน SSL / TLS อุโมงค์ด้วยการสนับสนุนสำหรับ 802.1Q VLAN และกำหนดค่าในพันธะสำหรับโหลดสมดุล (วงดนตรีเพิ่มขึ้น) หรือความอดทนความผิด (ความน่าเชื่อถือเพิ่มขึ้น);
Router กับเส้นทางแบบคงที่และแบบไดนามิก (RIPv2 กับ MD5 หรือการตรวจสอบข้อความธรรมดาและ Horizon แยกและพิษย้อนกลับขั้นตอนวิธี);
สะพาน 802.1D กับโปรโตคอล Spanning Tree เพื่อหลีกเลี่ยงลูปแม้ในที่ที่มีเส้นทางที่ซ้ำซ้อน;
· 802.1Q แลนเสมือน (ติดแท็ก VLAN);
· Firewall กรองแพ็คเก็ตและ Stateful Packet Inspection (SPI) ที่มีตัวกรองที่ใช้บังคับในทั้งสองเส้นทางและการเชื่อมโยงกับชนิดของการเชื่อมต่อรวมทั้ง VPN และ VLAN ทั้งหมด;
·มันเป็นไปได้ที่จะปฏิเสธหรือรูปร่างโปรแกรม P2P จราจรโดยใช้โมดูล iptables IPP2P ใน Firewall และ QoS ลักษณนาม;
NAT จะใช้คลาสส่วนตัวที่อยู่ที่ซ่อนอยู่ในระบบ LAN WAN ที่มีที่อยู่ของประชาชน
· TCP / ส่งต่อพอร์ต UDP (PAT) เพื่อสร้างเซิร์ฟเวอร์เสมือน ซึ่งหมายความว่าเซิร์ฟเวอร์คลัสเตอร์จริงจะเห็นมีเพียงหนึ่งที่อยู่ไอพี (IP ของเซิร์ฟเวอร์เสมือน) และแต่ละคำขอจะกระจายด้วยวิธี Round Robin ไปยังเซิร์ฟเวอร์จริง
·เซิร์ฟเวอร์ DNS Multizone กับการจัดการอัตโนมัติมติกลับ in-addr.arpa;
·เซิร์ฟเวอร์ DHCP เครือข่ายย่อยหลายที่มีความเป็นไปได้ในการแก้ไขปัญหาไอพีขึ้นอยู่กับที่อยู่ MAC ของลูกค้า;
·ลูกค้า PPPoE สำหรับการเชื่อมต่อ WAN ผ่าน ADSL, DSL และสายเคเบิล (ต้องใช้โมเด็มที่เหมาะสม);
·ลูกค้า DNS แบบไดนามิกที่ใช้ในการเข้าถึงได้อย่างง่ายดายเจ้าภาพใน WAN แม้ในขณะที่ไอพีเป็นแบบไดนามิก;
· NTP (Network Time Protocol) ไคลเอ็นต์และเซิร์ฟเวอร์สำหรับเก็บนาฬิกาโฮสต์ตรงกัน;
·เซิร์ฟเวอร์ Syslog สำหรับการรับและรายการบันทึกของระบบผลิตโดยโฮสต์ระยะไกลรวมทั้งระบบ Unix, เราเตอร์สวิตช์จุดเชื่อมต่อ Wi-Fi, เครื่องพิมพ์เครือข่ายและอื่น ๆ เข้ากันได้กับโพรโทคอ syslog;
· Kerberos 5 การตรวจสอบโดยใช้ KDC แบบบูรณาการและการตรวจสอบข้ามระหว่างอาณาจักร;
· LDAP, NIS และการอนุญาต RADIUS;
·อำนาจการรับรอง X509 ในการออกและการจัดการใบรับรองอิเล็กทรอนิกส์
· Unix และการทำงานร่วมกันของไดเรกทอรีที่ใช้งาน Windows โดยใช้ LDAP และ Kerberos 5 การตรวจสอบขอบเขตข้าม
·คุณสมบัติต่อไปนี้จะสามารถใช้ได้ในอนาคตอันใกล้และรวมอยู่ในรุ่น 1.0.0:
ร็อกซี่เซิร์ฟเวอร์เว็บจะมีเว็บแคชส่วนกลางซึ่งจะทำให้สามารถที่จะปิดกั้นหน้าเว็บที่มีไวรัส คุณลักษณะนี้จะดำเนินการโดยใช้โปรแกรมป้องกันไวรัส ClamAV และพร็อกซีเซิร์ฟเวอร์ปลาหมึก ร็อกซี่เซิร์ฟเวอร์สามารถกำหนดค่าให้ทำงานในโหมดพร็อกซี่โปร่งใสในการที่คุณไม่จำเป็นต้องกำหนดค่าเว็บเบราเซอร์ที่จะใช้มัน แต่การร้องขอ http จะถูกเปลี่ยนเส้นทางโดยอัตโนมัติไปยังพร็อกซี่
จอภาพ arpwatch สำหรับการตรวจสอบเหตุการณ์ที่เกิดขึ้น ARP บน LAN เช่นการทำสำเนาของที่อยู่ IP, flip-flop และข้อบกพร่องอื่น ๆ
เป็นเจ้าภาพเพื่อ LAN VPN กับโปรโตคอล PPTP (Point to Point Tunneling พิธีสาร) MPPE (Microsoft Point to Point เข้ารหัส) และ GRE อุโมงค์;
คุณสมบัติดังต่อไปจะสามารถใช้ได้ในรุ่นต่อไปที่ใหม่กว่า 1.0.0:
โหมด HostAP สำหรับการ์ดเครือข่ายไร้สายโดยใช้ Intersil Prism2 / 2.5 / 3 ชิปเซ็ต ในคำอื่น ๆ , กล่อง ZeroShell กับหนึ่งในบัตรอินเตอร์เน็ตไร้สายดังกล่าวอาจจะกลายเป็นมาตรฐาน IEEE 802.11b / g Access Point ให้รับรองความถูกต้องเชื่อถือได้และแบบไดนามิกคีย์ WEP แลกเปลี่ยนโดย 802.1X และโปรโตคอล WPA แน่นอนว่าการตรวจสอบจะใช้เวลาสถานที่ที่ใช้ EAP-TLS และ PEAP กว่าเซิร์ฟเวอร์ RADIUS รวม;
IMAP เซิร์ฟเวอร์ v4 การจัดการกล่องจดหมายที่มีการตรวจสอบการให้บริการโดยบูรณาการของ Kerberos 5 เซิร์ฟเวอร์;
เซิร์ฟเวอร์ SMTP จะได้รับการส่งและอีเมลเส้นทางขึ้นอยู่กับแผนที่เส้นทาง SMTP ที่เก็บไว้ในเซิร์ฟเวอร์ LDAP แบบบูรณาการ อีเมลขาเข้าและ outcoming เป็นสแปมและไวรัสตรวจสอบโดยแอนตี้สแปมและการป้องกันไวรัสตัวกรองอัตโนมัติปรับปรุงจากอินเทอร์เน็ต นอกจากนี้ยังได้รับการสนับสนุนลูกค้า DNS แบบไดนามิกที่จะปรับปรุงระเบียน DNS MX, ทำให้เป็นไปได้ที่จะมีเซิร์ฟเวอร์อีเมลสำหรับโดเมนถ้าอยู่ IP WAN ยังไม่ได้กำหนดแบบคงที่
การตรวจสอบบัตรสมาร์ทโดยใช้โปรโตคอล PKINIT ที่รวม Kerberos 5 ข้อมูลประจำตัวและใบรับรอง X.509 แต่น่าเสียดายที่แตกต่างจากคุณสมบัติอื่น ๆ ก็เป็นไปไม่ได้ที่จะสนับสนุนการตรวจสอบมาร์ทการ์ดในระยะเวลาอันสั้นเพราะ MIT Kerberos v5 ไม่ใช้โปรโตคอล PKINIT ยัง
ZeroShell เป็นกระจายอยู่ซีดีซึ่งหมายความว่ามันไม่จำเป็นต้องติดตั้งบนฮาร์ดดิสก์เพราะมันสามารถใช้งานได้โดยตรงจากซีดีรอมที่มันมีการกระจาย เห็นได้ชัดว่าฐานข้อมูลที่มีข้อมูลทั้งหมดและการตั้งค่าสามารถเก็บไว้ใน ATA, SATA, SCSI และดิสก์ USB การรักษาความปลอดภัยใด ๆ ที่แก้ไขข้อผิดพลาดสามารถดาวน์โหลดได้จากการปรับปรุงระบบอัตโนมัติผ่านทางอินเทอร์เน็ตและการติดตั้งในฐานข้อมูล แพทช์นี้จะถูกลบออกโดยอัตโนมัติจากฐานข้อมูลโดยรุ่นต่อมาของ ZeroShell สดซีดีแล้วที่มีการปรับปรุง
นอกจากนี้ยังมีภาพ Compact Flash 512MB ประโยชน์ถ้าคุณมีการบูตกล่องของคุณจากอุปกรณ์นี้แทนจากซีดีรอมเช่นในอุปกรณ์ฝังตัวสำหรับใช้ในเครือข่าย ภาพแบบ Compact Flash มี 400MB พร้อมที่จะจัดเก็บการตั้งค่าและข้อมูล
ชื่อ ZeroShell ตอกย้ำความจริงที่ว่าแม้จะเป็นระบบลินุกซ์ (ตามธรรมเนียม administrable จากเปลือก), การดำเนินงานการบริหารที่สามารถดำเนินการผ่านทางอินเตอร์เฟซเว็บ: แน่นอนหลังจากที่ได้รับมอบหมายที่อยู่ IP ผ่าน VGA หรือขั้วอนุกรมเพียงแค่เชื่อมต่อ ไปยังที่อยู่ที่ได้รับมอบหมายโดยวิธีการของเบราว์เซอร์ในการกำหนดค่าทุกอย่าง ZeroShell ได้รับการทดสอบประสบความสำเร็จในการทำงานกับ Firefox 1.0.6+, Internet Explorer 6+, Netscape 7.2+ อี Mozilla 1.7.3+
อาคาร ZeroShell
ZeroShell ไม่ได้ขึ้นกับการจัดจำหน่ายที่มีอยู่แล้วเป็นเช่น Knoppix จะขึ้นอยู่กับ Debian ผู้เขียนได้รวบรวมทั้งซอฟแวร์ที่กระจายประกอบด้วยเริ่มจากรหัสแหล่งที่มาในแพ็คเก็ต tar.gz หรือ tar.bz2 gcc คอมไพเลอร์และ glibcs ของ GNU ได้รับการรวบรวมเกินไปและมีขั้นตอนที่เรียกว่าการบูตที่พวกเขาได้ recompiled ตัวเองอีกครั้ง นี้ได้รับการจำเป็นที่จะต้องเพิ่มประสิทธิภาพของคอมไพเลอร์และที่จะกำจัดการพึ่งพาจากทุก glibcs ของระบบที่รวบรวมครั้งแรกที่เกิดขึ้น บางส่วนของสคริปต์การเริ่มต้นเช่นเดียวกับแนวทางตามที่ผู้เขียนเป็นของลินุกซ์ตั้งแต่เริ่มต้น
รายการเปิดส่วนประกอบที่มา
·ลินุกซ์สำหรับ Linux Kernel;
· httpd Apache สำหรับเว็บอินเตอร์เฟสบริหาร krb5 เอ็มไอที Kerberos 5 การรับรองเซิร์ฟเวอร์;
· OpenLDAP สำหรับเซิร์ฟเวอร์ LDAP;
· ypserv สำหรับ NIS เซิร์ฟเวอร์ (YP);
· OpenSSL สำหรับ SSL / TLS อุโมงค์และ CA บริหาร
· freeradius สำหรับเซิร์ฟเวอร์ RADIUS + EAP-TLS และ PEAP (802.1x);
· iptables สำหรับไฟร์วอลล์กรองแพ็คเก็ตและ Stateful Packet Inspection (SPI), NAT และการส่งต่อพอร์ต (PAT);
· OpenVPN สำหรับระบบ LAN เพื่อ LAN VPN อีเธอร์เน็ตที่มีการสนับสนุน VLAN 802.1Q;
·ผูกสำหรับเซิร์ฟเวอร์ DNS;
·เพ Venaas'LDAP SD ที่จะใช้แบ็กเอนด์ LDAP สำหรับ DNS ผูกใช้ DHCP สคี dNSZone สำหรับเซิร์ฟเวอร์ DHCP;
·โมดูล iptables IPP2P สำหรับแบบ peer-to-peer ไฟล์จำแนกร่วมกัน;
· rp-PPPoE สำหรับไคลเอนต์สำหรับการเชื่อมต่อ PPPoE ADSL;
· vconfig สำหรับ Tagged VLAN 802.1Q;
·สะพาน utils สำหรับแก้ 802.1D กับ STP;
· PPP สำหรับชี้ไปที่จุดเชื่อมต่อ IP ที่ใช้สำหรับ PPPoE และโปรโตคอล PPTP;
· Quagga สำหรับรุ่นโปรโตคอล RIP 2 ใช้สำหรับการจัดการเส้นทางแบบไดนามิก;
·สำหรับลูกค้า NTP NTP และเซิร์ฟเวอร์สำหรับการประสานนาฬิการะบบ;
· sysklogd สำหรับเซิร์ฟเวอร์ Syslog สำหรับการเข้าซื้อกิจการและรายการบันทึกท้องถิ่นและระยะไกลผ่านทางโปรโตคอล syslog;
· arpwatch สำหรับตรวจสอบเหตุการณ์ที่เกิดขึ้น ARP เช่นการทำสำเนาของที่อยู่ IP, รองเท้าแตะและข้อบกพร่องอื่น ๆ
· libpcap สำหรับห้องสมุดจับ Packet ใช้โดย arpwatch;
· LZO สำหรับการบีบอัดแบบ Real-time ในระบบ LAN เพื่อ LAN VPNs;
· wget เพื่อรับประกันการปรับปรุงอัตโนมัติกับแพทช์ที่พบใน http://www.zeroshell.net/updates;
pciutils ·สำหรับการรับรู้ของแบรนด์และรูปแบบของการ์ดอีเทอร์เน็ตบนรถบัส PCI;
· ethtool สำหรับการรับรู้ถึงสถานะของการเชื่อมโยงทางกายภาพในการเชื่อมต่ออีเธอร์เน็ต
· e2fsprogs สำหรับการจัดการและระบบไฟล์ ext2 ext3;
· reiserfsprogs สำหรับการจัดการระบบแฟ้ม ReiserFS;
· dosfstools สำหรับการจัดการของ FAT และ FAT32 (DOS และ Windows) ระบบแฟ้ม;
·แยกสำหรับการจัดการพาร์ทิชัน โดยเฉพาะอย่างยิ่งใน partprobe ช่วยให้ดูพาร์ทิชันใหม่โดยไม่ต้องรีบูตเครื่อง;
· udev สำหรับการจัดการอัตโนมัติของ devfs สำหรับ hotplugs ของดิสก์ USB;
· sudo เพื่อเพิ่มการรักษาความปลอดภัยโดยใช้ Apache เป็นกระบวนการ unprivileged และเพิ่มสิทธิพิเศษเฉพาะในกรณีที่จำเป็นอย่างเคร่งครัด;
·ลินุกซ์สำหรับ PAM PAM (Pluggable รับรองความถูกต้องโมดูล).
ความคิดเห็นที่ไม่พบ