Linux簡明系統維護手冊(四)
2024-08-28 00:23:37
供稿:網友
國內最大的酷站演示中心!
(7)安裝imap服務器
幾乎所有的發行包都帶有imap服務器軟件(一般是華盛頓大學版本),最好的辦法是用你的發行包安裝imap服務器�����。事實上,我個人覺得imap服務器很少被使用�����。下載最常規的imap服務器源碼地址是:ftp://ftp.cac.washington.edu/imap/imap.tar.z
tar zxvf imap.tar.z
cd imap-2001a
make slx
(如果不行依次試驗一下其他你覺得可能的系統類型�����,用vi看一下makefile中列的名稱)
然后配置/etc/inetd.conf�����,讓inetd允許imap服務�����。[本節內容沒有試驗成功�����,編譯總是過不去]
(8)安裝squid服務器
squid是一個優秀的代理服務器軟件�����,它可以很靈活的被配置為各種應用形式,其中包括正向代理�����,反向加速模式和透明代理等�����。但是squid目前只能代理http協議�����,代理ftp協議需要配置瀏覽器仿真主動ftp協議�����。下面的步驟是安裝squid的過程�����。
1�����、下載反向代理服務器軟件采用squid�����,下載地址:http://www.squid-cache.org/
下載后存放在/usr/local/src目錄里�����,文件名是squid-2.4.stable2-src.tar.gz
2�����、tar zxvf squid-2.4.stable2-src.tar.gz 解壓縮
3�����、cd /usr/local/src/squid-2.4.stable2 進入目錄
4�����、./configure --prefix=/usr/local/squid --enable-heap-replacement --disable-internal-dns建立環境�����,把squid安裝/usr/local/squid中�����。第二個參數是指定使用更先進的緩沖算法。第三個參數是取消內部dns解析(如果使用在遠程高速緩存模式�����,比如gslb�����,需要增加選項:--disable-internal-dns�����,目的是關閉內部dns.否則內部dns不理睬你在etc/hosts中的設定�����,直接尋找域名服務器�����,這樣就會造成轉發循環�����。就是cache發送給物理服務器的更新請求(因為用域名)也會被用戶的gsln設備解析回來而形成循環�����。)
5�����、make 開始編譯
6�����、make install 安裝到剛才--prefix=指定的路徑當中
7�����、安裝完成后�����,會在您指定的安裝路徑里產生一個squid目錄�����,squid目錄下有四個目錄:bin/ etc/ libexec/ logs/�����。其中etc里面是配置文件�����,bin里面是執行文件�����,logs里面是日志文件�����。
8�����、安裝結束后就是調試服務器�����,使其按照您的要求工作�����。squid的配置文件只有一個�����,在etc目錄里�����,名字是squid.conf�����,所有的配置選項都在這個文件里面�����。而且每個配置項目都有注釋說明�����。首先�����,在squid文件里面找到下列配置項:
cache_mem ---這里可以添上您準備給squid作為高速緩存使用的內存大小�����。注意�����,如果您的機器有n兆內存�����,那么�����,推薦您在這里添的數字是n/3�����。
cache_dir /usr/local/squid/cache 100 16 256 這里的第一個數字100是您準備給squid作為cache使用的硬盤空間大小,單位是兆�����。如果您想劃100m空間當作cache,那么這里就寫100�����。
cache_mgr [email protected]這里填寫cache管理員的email地址,系統出錯會自動提醒cache管理員�����。
cache_replacement_policy和memory_replacement_policy的參數由于使用了--enable-heap-replacement編譯參數�����,就不能使用缺省的lru算法了�����,你可以在下列三種里面選一個:
heap gdsf : greedy-dual size frequency
heap lfuda: least frequently used with dynamic aging
heap lru : lru policy implemented using a heap
例如:
cache_replacement_policy heap lru
memory_replacement_policy heap lru
下面設定acl訪問控制列表:為了簡單起見�����,我們在這里開放所有的權限�����。acl分為兩個部分:acl定義部分�����,和http_access部分�����。在access_http部分用到前面的定義�����。前面定義了:
acl all src 0.0.0.0/0.0.0.0
我們注釋掉所有的http_access行加一句:
http_access allow all ---注意:all是前面acl定義的�����。
這樣就開放了所有的權限�����。以后有需要的�����,再繼續往上加各種限制即可�����。
9�����、以root身份創建組nogroup :
%su root (如果當前不是root)
#groupadd nogroup
#useradd nobody (如果沒有這個用戶)
10�����、進行目錄/usr/local �����,以root身份執行下面的命令�����,改變整個squid目錄的所有者為nobody.nogroup
#cd /usr/local
#chown nobody.nogroup -r squid
11�����、su 作為nobody,進行/usr/local/squid/bin目錄�����,執行#squid -z 創建cache交換目錄
#su nobody
$ cd /usr/local/squid/bin
$./squid -z
12�����、成功后�����,測試一下:/usr/local/squid/bin/squid -ncd1 該命令正式啟動squid�����。如果一切正常�����,你會看到一行輸出 :ready to serve requests.
13�����、用ctrl-c退出前臺測試�����。
14�����、把squid作為守護進程啟動就直接運行:/usr/local/squid/bin/squid
15�����、檢查狀態用squid –k check
16�����、停止squid用squid -k shutdown
如果是配置基本的正向代理�����,上面的已經可以使用了�����。下面的步驟用于配置支持多域名的反向代理服務器�����。還好�����,squid的所有配置都在/usr/local/squid/etc下面�����,和反向代理有關的幾項介紹如下:
17�����、http_port 80 “http_port”參數指定squid監聽瀏覽器客戶請求的端口號�����。
18�����、icp_port 0 “icp_port”參數指定squid從鄰居(neighbour)服務器緩沖內發送和接收icp請求的端口號�����。這里設置為0是因為這里配置squid為內部web服務器的加速器�����,所以不需要使用鄰居服務器的緩沖�����。
19、emulate_httpd_log on 打開“emulate_httpd_log”選項�����,將使squid仿照web服務器的格式創建訪問記錄�����。如果希望使用web訪問記錄分析程序�����,就需要設置這個參數�����。
20�����、redirect_rewrites_host_header off 缺省地�����,squid將改寫任何重定向請求的主機頭部�����。若系統運行squid為加速器模式�����,則這時不需要重定向特性�����。該參數在負載過重的情況下要旁路重定向器時才打開
21�����、httpd_accel_host vartual 此處設置反向代理的主機名�����,如果對后面多個域名進行緩沖�����,請使用虛擬主機模式(如此)�����。
22�����、httpd_accel_port 80 此處設置反向代理的web服務端口號�����。
23�����、#httpd_accel_with_proxy off 把這行注釋掉�����,此處設置開反向代理的同時�����,是否開普通代理緩存服務�����。如果這行不注釋掉�����,就沒有高速緩存功能�����。
24�����、定義訪問控制列表:
acl port80 port 80
acl accel_host1 dstdomain .test.com
acl accel_host2 dstdomain .test.net
… …
http_access allow accel_host1 port80
http_access allow accel_host2 port80
http_access deny all;
25�����、完成后�����,用squid –k reconfigure重新裝載配置文件�����。
(9)安裝ssh
---
(10)配置linux為路由器
---
(11)配置linux網關和安裝ipchains/iptables防火墻
在linux上面的防火墻�����,最最常用的是ipchains,而且通常情況下是作為網關的附加部分安裝的�����。ipchains的規則是很復雜的�����,靈活性也很強�����,可以配制成各種五花八門的樣子�����。這些都需要和你自己的實際情況相結合�����。這里�����,我們只介紹一種基于網關的簡單配置�����。
安裝ipchains一般都不用你操心�����,因為幾乎所有的linux發行包都把該軟件作為必須安裝的卻省配置�����。另一個原因是ipchains是跟內核(kernel)有很大的關系�����,因此最好在安裝系統的時候選上相關選項(如果有)�����。在標題里面我們還提到了iptables�����,這個工具在表面上等同于ipchains�����,只不過是用于2.4內核的(2.4內核在這方面的代碼幾乎是重新寫過的�����,功能有了長足的提高)�����。關于iptables工具的配置我們在后面介紹�����。你只需要記住2.2核心下使用ipchains�����,2.4核心下使用iptables即可�����。
首先,你的服務器需要兩塊網卡(或更多)�����,這種機器叫做“多宿主主機”,是專門的用于做網關或路由器的�����。這里插一句:一般情況下�����,作為普通服務器的主機即使負載再重就需要一塊網卡就夠了�����,只有做網關或路由器的時候才需要多宿主主機�����。這并不象一般人認為得那樣增加一塊網卡可以增加一份帶寬�����,事實上�����,一塊網卡就可以提供足夠的帶寬。并且�����,還有人錯誤的把兩塊網卡接在同一個交換機上分配兩個地址�����,這更是錯誤的�����,因為這樣產生了額外的循環路由�����,會產生大量的內部警告錯誤�����,某些系統就會報警�����。
1�����、制作一個雙界面(雙宿主)的主機�����。
通常�����,現在的發行包的安裝程序都可以識別兩塊網卡�����,這樣就省事了�����。但是也有不少發行包只識別第一塊網卡(也許是出于前面說的原因)�����,或者你要在一臺在用的機器上加一塊網卡(因為你不愿意重裝系統)�����,那么就按照下面的辦法處理。
1.1�����、我們就說pci網卡�����。安裝前首先看看網卡芯片�����,記住芯片的型號(希望你自己攢過機器)�����。
1.2�����、安裝man手冊(用發行包)
1.3�����、在/usr/doc/howto/english/txt/ethernet-howto文件(如果是壓縮的就釋放)中搜索你的網卡型號�����,找到對應的驅動模塊名稱�����。
1.4�����、如果模塊沒有,還需要重新編譯核心�����。在menuconfig網絡設備一欄選中你的型號然后標記為*或m�����,編譯完核心后別忘了編譯模塊:make modules;make modules_install�����。(不會的話再仔細溫習一下前面編譯內核的部分)
1.5�����、用depmod –a命令建立/etc/modules.conf(如果已經有就不用了),也有的發行包叫做conf.modules
1.6�����、編輯該文件加上一行:alias eth1 xxxx�����,其中xxxx是你剛才查到的模塊名稱�����。一般該模塊文件位于:/lib/modules/內核版本號/net…中的xxxx.o文件�����。這個文件是你編譯內核模塊的時候產生的�����,你在內核配置的時候�����,凡是標記為m的都會被編譯成.o文件放在這里。同樣的�����,你選擇的網卡驅動也是會編譯成模塊在這里的�����。
1.7�����、運行modprobe eth1使模塊有效。
1.8�����、修改/etc/sysconfig/network文件中需要修改的部分�����。
1.9�����、建立或修改/etc/sysconfig/network-script/ifcfg-eth1文件(照抄那個eth0的即可)�����,設定地址是你的真實情況�����,比如設為eth1要接的網段�����。這兩個文件(eth0/eth1是啟動的時候的腳本參數文件)
1.10�����、重新啟動一下網絡:/etc/rc.d/init.d/network restart
1.11�����、用ifconfig看看是否eth0/eth1都啟動了�����。
1.12�����、大功告成
2�����、調整和編譯核心:如果作為網關�����,有些核心選項需要配置。注意:這里的內核編譯選項僅僅適合于2.2.x版本�����,2.4版本完全不同�����。
2.1�����、在/usr/src/linux中運行make menuconfig配置核心下列選項:
networking options中
[*] network firewalls
[*] ip: advanced router
[*] ip: firewalling
[*] ip: firewall packet netlink device
[*] ip: transparent proxy support
[*] ip: masquerading
[*] ip: icmp masquerading
[*] ip: masquerading special modules support
ip: ipautofw masq support (experimental)
ip: ipportfw masq support (experimental)
ip: ip fwmark masq-forwarding support (experimental)
[*] ip: masquerading virtual server support (experimental)
(12) ip masquerading vs table size (the nth power of 2)
具體選項不同版本的內核不盡相同�����,你看著差不多就可以了�����。編譯成模塊或編進核心[*]可以自由選擇�����。
2.2�����、按照前面說的編譯內核�����,重新啟動后就具有網關功能了�����。啟動后驗證一下文件:/proc/sys/net/ipv4/ip_forward內容是否為1�����。(別告訴我不知道怎么看8-))
3�����、設置ipchains
本來這項工作是非常復雜的�����,但是我們這里講的簡單�����,讓網關通了就行�����。
3.1�����、先看一下目前我們目前的假想環境:你的機器有兩塊網卡�����,一塊連接在內網交換機配內部網絡地址�����,另一塊在外網交換機配公網地址�����。在這個機器ping 內網和外網的機器應該都能通�����。并且在內網的機器ping 該機器的外網地址也通�����,在外網的機器ping該機器內網的地址也同樣通�����。這說明轉發功能是有效的�����。
3.2�����、再試驗一下:在內部網絡把網關設為你的機器的內網地址,然后ping 外網的任一臺機器(不是這臺機器的外網地址)�����,結果是不通�����。原因是icmp包發出去后外網的機器不知道怎么回答�����,那里沒有合適的路由�����,因為這個包的回應地址是內網�����。
3.3、現在設置ipchains:(ipchains軟件適用2.2.x的內核�����,在2.4.x的內核中不適用。2.4.x的內核推薦使用iptables�����,關于該軟件的用法在下面介紹)
ipchains –a forward –s 192.168.1.0/24 –j masq
黑體部分是內網地址�����。這句話的意思是�����,把所有內網發送的包都偽裝成外部網的地址(那個機器的外網地址)�����,這樣�����,外部其他機器回應的時候就會發送到這臺機器�����,經過轉發就回來內網了。好了�����,一個簡單的網關做好了�����。如果你需要實現防火墻(包過濾功能)�����,則需要配置更加復雜的過濾規則�����,這些規則應該同時作用于input/output/forward鏈�����。
3.4�����、自動啟動:設定了復雜的鏈�����,需要保存�����。在/etc/rc.d中建立一個文件:rc.ipfwadm把你的鏈腳本加進去就可以了�����。最后給這個文件+x屬性(chmod +x rc.ipfwadm)�����。
4.在2.4.x內核中使用iptables建立linux防火墻(網關)�����。
4.1 說明和下載
前面已經提到過2.4 內核中要使用iptables來做類似于ipchains在2.2內核中實現的事情�����。事實上�����,在2.4內核中的iptables包含了兩個完全不同的部分:包過濾和地址轉換�����。這兩個功能在邏輯上是分開的�����,考慮到操作習慣上的問題才集成在一個配置程序(iptables)上�����。如果你安裝了帶有2.4內核的發行包�����,那么一般都帶有iptables�����,并且在內核配置上也配置好了�����。如果要編譯新的內核或者原來的內核沒有支持iptables�����,需要選上相關的選項�����。使用make menuconfig 配置內核的時候操作:進入:networking options至少選擇上:
[*] network packet filtering (replaces ipchains)
[*] network packet filtering debugging (new)
進入:ip: netfilter configuration --->
[*] connection tracking (required for masq/nat) (new)
ftp protocol support (new)
irc protocol support (new)
等等……
把下面的選項全部標記<*>
逐級返回上面菜單后保存配置�����,然后按照編譯內核的那一套程序進行即可(參見前面的內容)�����。這里需要說明的是�����,內核支持了iptables功能�����,還需要有外部程序才行�����。如果你是直接安裝的帶有2.4內核的發行包�����,應該已經帶有iptables實用程序了�����。但是如果你是從2.2核心的發行包直接升級到2.4內核�����,盡管按照上面的做法配置的核心�����,但是還不能使用iptables�����。還必須下載和編譯iptables外部程序才能使用iptables功能�����。下載的地址是:http://www.netfilter.org �����,下載的文件是iptables-1.2.6a.tar.bz2或更新的版本�����。
4.2 安裝:
這個.bz2文件比較奇怪吧�����?把文件復制到/usr/local/src中�����,然后用下列命令釋放編譯和安裝: bzip2 -dc iptables-1.1.2.tar.bz2 |tar vxf - (最后那個‘- ’別忘了)
你的系統可能沒有bzip2工具�����,如果沒有�����,你就去下一個:
進入新生成的目錄 :cd iptables-1.2.6a 編譯和安裝:make ; make install
4.3 配置
如果你需要配置一個簡單的網關�����,你僅僅需要配置一個轉發加地址轉換功能即可�����,我提供的參考腳本如下:
#begin
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -f input
iptables -f forward
iptables –f output
iptables -f postrouting -t nat
iptables -t nat -f
iptables -p forward drop
iptables -a forward -s 192.168.1.0/24 -j accept
iptables -a forward -i eth1 -m state --state established,related -j accept
iptables -t nat -a postrouting -o eth1 -s 192.168.1.0/24
-j snat --to 21.9.22.2
#end
其中3行modprobe是當你在內核中把iptables相關功能編譯成模塊(選成)的時候才用到的(也可能不止3行)�����。其中插入模塊(modprobe)的幾行比較重要�����,有時候當你作完nat后�����,發現ftp不好用了�����,就要手工插入ip_nat_ftp模塊(語法是:modprobe ip_nat_ftp)�����。黑體的地址部分可能是需要根據你網絡的實際情況來決定的�����。最后一句話的意思是把凡是源地址是192.168.1.x的包做地址轉換�����,轉換為網關外側地址21.9.22.2�����。好了�����,你已經建立起一個基本的網關了。其實iptables的功能及其強大�����,配置也非常靈活�����。其中的防火墻功能通過-t filter參數實現,地址轉換功能通過-t nat實現(就像上面一樣)�����。防火墻功能(packet filter)主要是3個鏈:input,forward,output�����,地址轉換功(nat)主要是3個鏈:prerouting,postrouting,output�����。觀察當前的狀態可以使用下面的命令:iptables –l –t filter 或 iptables –l –t nat�����。
好了�����,要配置出更靈活的�����、更強大的防火墻功能�����,全靠你自己了�����。我推薦你兩個手冊:《linux 2.4 packet filter howto》和《linux 2.4 nat howto》�����。這兩個文檔是iptables的原作者寫的�����,相當經典�����。英文不好?沒關系�����,這兩個文檔都有中文版本�����。推薦你到:永遠的unix(http://www.fanqiang.com)下載。
