Linux簡明系統維護手冊(四) - 中國WEB開發者網絡 (http://www.webasp.net) -- 技術教程 (http://www.webasp.net/article/) --- Linux簡明系統維護手冊(四) (http://www.webasp.net/article/12/11586.htm) |
| -- 作者:未知 -- 發佈日期: 2004-07-02 |
| (7)安裝imap服務器
幾乎所有的發行包都帶有imap服務器軟件(一般是華盛頓大學版本),最好的辦法是用你的發行包安裝IMAP服務器。事實上,我個人覺得IMAP服務器很少被使用。下載最常規的IMAP服務器源碼地址是:ftp://ftp.cac.washington.edu/imap/imap.tar.Z tar zxvf imap.tar.Z cd imap-2001a make slx (如果不行依次試驗一下其他你覺得可能的系統類型,用vi看一下Makefile中列的名稱) 然後配置/etc/inetd.conf,讓inetd允許imap服務。[本節內容沒有試驗成功,編譯總是過不去] (8)安裝squid服務器 SQUID是一個優秀的代理服務器軟件,它可以很靈活的被配置為各種應用形式,其中包括正向代理,反向加速模式和透明代理等。但是SQUID目前只能代理HTTP協議,代理FTP協議需要配置瀏覽器仿真主動FTP協議。下面的步驟是安裝SQUID的過程。 1、下載反向代理服務器軟件採用squid,下載地址:http://www.squid-cache.org/ 下載後存放在/usr/local/src目錄裡,文件名是squid-2.4.STABLE2-src.tar.gz 2、tar zxvf squid-2.4.STABLE2-src.tar.gz 解壓縮 3、cd /usr/local/src/squid-2.4.STABLE2 進入目錄 4、./configure --prefix=/usr/local/squid --enable-heap-replacement --disable-internal-dns建立環境,把squid安裝/usr/local/squid中。第二個參數是指定使用更先進的緩衝算法。第三個參數是取消內部DNS解析(如果使用在遠程高速緩存模式,比如GSLB,需要增加選項:--disable-internal-dns,目的是關閉內部DNS.否則內部DNS不理睬你在etc/hosts中的設定,直接尋找域名服務器,這樣就會造成轉發循環。就是cache發送給物理服務器的更新請求(因為用域名)也會被用戶的GSLN設備解析回來而形成循環。) 5、make 開始編譯 6、make install 安裝到剛才--prefix=指定的路徑當中 7、安裝完成後,會在您指定的安裝路徑裡產生一個squid目錄,squid目錄下有四個目錄:bin/ etc/ libexec/ logs/。其中etc裡面是配置文件,bin裡面是執行文件,logs裡面是日誌文件。 8、安裝結束後就是調試服務器,使其按照您的要求工作。Squid的配置文件只有一個,在etc目錄裡,名字是squid.conf,所有的配置選項都在這個文件裡面。而且每個配置項目都有註釋說明。首先,在squid文件裡面找到下列配置項: cache_mem ---這裡可以添上您準備給squid作為高速緩存使用的內存大小。注意,如果您的機器有N兆內存,那麼,推薦您在這裡添的數字是N/3。 cache_dir /usr/local/squid/cache 100 16 256 這裡的第一個數字100是您準備給squid作為cache使用的硬盤空間大小,單位是兆。如果您想劃100M空間當作cache,那麼這裡就寫100。 cache_mgr webmaster@test.com.cn這裡填寫cache管理員的Email地址,系統出錯會自動提醒cache管理員。 cache_replacement_policy和memory_replacement_policy的參數由於使用了--enable-heap-replacement編譯參數,就不能使用缺省的lru算法了,你可以在下列三種裡面選一個: heap GDSF : Greedy-Dual Size Frequency heap LFUDA: Least Frequently Used with Dynamic Aging heap LRU : LRU policy implemented using a heap 例如: cache_replacement_policy heap LRU memory_replacement_policy heap LRU 下面設定ACL訪問控制列表:為了簡單起見,我們在這裡開放所有的權限。ACL分為兩個部分:ACL定義部分,和http_access部分。在access_http部分用到前面的定義。前面定義了: acl all src 0.0.0.0/0.0.0.0 我們註釋掉所有的http_access行加一句: http_access allow all ---注意:all是前面acl定義的。 這樣就開放了所有的權限。以後有需要的,再繼續往上加各種限制即可。 9、以root身份創建組nogroup : %su root (如果當前不是root) #groupadd nogroup #useradd nobody (如果沒有這個用戶) 10、進行目錄/usr/local ,以root身份執行下面的命令,改變整個Squid目錄的所有者為nobody.nogroup #cd /usr/local #chown nobody.nogroup -R squid 11、su 作為nobody,進行/usr/local/squid/bin目錄,執行#squid -z 創建cache交換目錄 #su nobody $ cd /usr/local/squid/bin $./squid -z 12、成功後,測試一下:/usr/local/squid/bin/squid -NCd1 該命令正式啟動Squid。如果一切正常,你會看到一行輸出 :Ready to serve requests. 13、用ctrl-c退出前台測試。 14、把squid作為守護進程啟動就直接運行:/usr/local/squid/bin/squid 15、檢查狀態用squid –k check 16、停止squid用squid -k shutdown 如果是配置基本的正向代理,上面的已經可以使用了。下面的步驟用於配置支持多域名的反向代理服務器。還好,SQUID的所有配置都在/usr/local/squid/etc下面,和反向代理有關的幾項介紹如下: 17、http_port 80 「http_port」參數指定Squid監聽瀏覽器客戶請求的端口號。 18、icp_port 0 「icp_port」參數指定Squid從鄰居(neighbour)服務器緩衝內發送和接收ICP請求的端口號。這裡設置為0是因為這裡配置Squid為內部Web服務器的加速器,所以不需要使用鄰居服務器的緩衝。 19、emulate_httpd_log on 打開「emulate_httpd_log」選項,將使Squid仿照Web服務器的格式創建訪問記錄。如果希望使用Web訪問記錄分析程序,就需要設置這個參數。 20、redirect_rewrites_host_header off 缺省地,Squid將改寫任何重定向請求的主機頭部。若系統運行Squid為加速器模式,則這時不需要重定向特性。該參數在負載過重的情況下要旁路重定向器時才打開 21、httpd_accel_host vartual 此處設置反向代理的主機名,如果對後面多個域名進行緩衝,請使用虛擬主機模式(如此)。 22、httpd_accel_port 80 此處設置反向代理的WEB服務端口號。 23、#httpd_accel_with_proxy off 把這行註釋掉,此處設置開反向代理的同時,是否開普通代理緩存服務。如果這行不註釋掉,就沒有高速緩存功能。 24、定義訪問控制列表: acl port80 port 80 acl accel_host1 dstdomain .test.com acl accel_host2 dstdomain .test.net … … http_access allow accel_host1 port80 http_access allow accel_host2 port80 http_access deny all; 25、完成後,用squid –k reconfigure重新裝載配置文件。 (9)安裝SSH --- (10)配置Linux為路由器 --- (11)配置Linux網關和安裝ipchains/iptables防火牆 在Linux上面的防火牆,最最常用的是ipchains,而且通常情況下是作為網關的附加部分安裝的。Ipchains的規則是很複雜的,靈活性也很強,可以配製成各種五花八門的樣子。這些都需要和你自己的實際情況相結合。這裡,我們只介紹一種基於網關的簡單配置。 安裝IPCHAINS一般都不用你操心,因為幾乎所有的Linux發行包都把該軟件作為必須安裝的卻省配置。另一個原因是ipchains是跟內核(kernel)有很大的關係,因此最好在安裝系統的時候選上相關選項(如果有)。在標題裡面我們還提到了iptables,這個工具在表面上等同於ipchains,只不過是用於2.4內核的(2.4內核在這方面的代碼幾乎是重新寫過的,功能有了長足的提高)。關於iptables工具的配置我們在後面介紹。你只需要記住2.2核心下使用ipchains,2.4核心下使用iptables即可。 首先,你的服務器需要兩塊網卡(或更多),這種機器叫做「多宿主主機」,是專門的用於做網關或路由器的。這裡插一句:一般情況下,作為普通服務器的主機即使負載再重就需要一塊網卡就夠了,只有做網關或路由器的時候才需要多宿主主機。這並不像一般人認為得那樣增加一塊網卡可以增加一份帶寬,事實上,一塊網卡就可以提供足夠的帶寬。並且,還有人錯誤的把兩塊網卡接在同一個交換機上分配兩個地址,這更是錯誤的,因為這樣產生了額外的循環路由,會產生大量的內部警告錯誤,某些系統就會報警。 1、製作一個雙界面(雙宿主)的主機。 通常,現在的發行包的安裝程序都可以識別兩塊網卡,這樣就省事了。但是也有不少發行包只識別第一塊網卡(也許是出於前面說的原因),或者你要在一台在用的機器上加一塊網卡(因為你不願意重裝系統),那麼就按照下面的辦法處理。 1.1、我們就說PCI網卡。安裝前首先看看網卡芯片,記住芯片的型號(希望你自己攢過機器)。 1.2、安裝MAN手冊(用發行包) 1.3、在/usr/doc/HOWTO/english/txt/Ethernet-HOWTO文件(如果是壓縮的就釋放)中搜索你的網卡型號,找到對應的驅動模塊名稱。 1.4、如果模塊沒有,還需要重新編譯核心。在menuconfig網絡設備一欄選中你的型號然後標記為*或M,編譯完核心後別忘了編譯模塊:make modules;make modules_install。(不會的話再仔細溫習一下前面編譯內核的部分) 1.5、用depmod –a命令建立/etc/modules.conf(如果已經有就不用了),也有的發行包叫做conf.modules 1.6、編輯該文件加上一行:alias eth1 XXXX,其中XXXX是你剛才查到的模塊名稱。一般該模塊文件位於:/lib/modules/內核版本號/net…中的XXXX.o文件。這個文件是你編譯內核模塊的時候產生的,你在內核配置的時候,凡是標記為M的都會被編譯成.o文件放在這裡。同樣的,你選擇的網卡驅動也是會編譯成模塊在這裡的。 1.7、運行modprobe eth1使模塊有效。 1.8、修改/etc/sysconfig/network文件中需要修改的部分。 1.9、建立或修改/etc/sysconfig/network-script/ifcfg-eth1文件(照抄那個eth0的即可),設定地址是你的真實情況,比如設為eth1要接的網段。這兩個文件(eth0/eth1是啟動的時候的腳本參數文件) 1.10、重新啟動一下網絡:/etc/rc.d/init.d/network restart 1.11、用ifconfig看看是否eth0/eth1都啟動了。 1.12、大功告成 2、調整和編譯核心:如果作為網關,有些核心選項需要配置。注意:這裡的內核編譯選項僅僅適合於2.2.X版本,2.4版本完全不同。 2.1、在/usr/src/linux中運行make menuconfig配置核心下列選項: Networking options中 [*] Network firewalls [*] IP: advanced router [*] IP: firewalling [*] IP: firewall packet netlink device [*] IP: transparent proxy support [*] IP: masquerading [*] IP: ICMP masquerading [*] IP: masquerading special modules support IP: ipautofw masq support (EXPERIMENTAL) IP: ipportfw masq support (EXPERIMENTAL) IP: ip fwmark masq-forwarding support (EXPERIMENTAL) [*] IP: masquerading virtual server support (EXPERIMENTAL) (12) IP masquerading VS table size (the Nth power of 2) 具體選項不同版本的內核不盡相同,你看著差不多就可以了。編譯成模塊或編進核心[*]可以自由選擇。 2.2、按照前面說的編譯內核,重新啟動後就具有網關功能了。啟動後驗證一下文件:/proc/sys/net/ipv4/ip_forward內容是否為1。(別告訴我不知道怎麼看8-)) 3、設置ipchains 本來這項工作是非常複雜的,但是我們這裡講的簡單,讓網關通了就行。 3.1、先看一下目前我們目前的假想環境:你的機器有兩塊網卡,一塊連接在內網交換機配內部網絡地址,另一塊在外網交換機配公網地址。在這個機器ping 內網和外網的機器應該都能通。並且在內網的機器ping 該機器的外網地址也通,在外網的機器ping該機器內網的地址也同樣通。這說明轉發功能是有效的。 3.2、再試驗一下:在內部網絡把網關設為你的機器的內網地址,然後ping 外網的任一台機器(不是這台機器的外網地址),結果是不通。原因是ICMP包發出去後外網的機器不知道怎麼回答,那裡沒有合適的路由,因為這個包的回應地址是內網。 3.3、現在設置ipchains:(ipchains軟件適用2.2.X的內核,在2.4.X的內核中不適用。2.4.X的內核推薦使用iptables,關於該軟件的用法在下面介紹) ipchains –A forward –s 192.168.1.0/24 –j MASQ 黑體部分是內網地址。這句話的意思是,把所有內網發送的包都偽裝成外部網的地址(那個機器的外網地址),這樣,外部其他機器回應的時候就會發送到這台機器,經過轉發就回來內網了。好了,一個簡單的網關做好了。如果你需要實現防火牆(包過濾功能),則需要配置更加複雜的過濾規則,這些規則應該同時作用於input/output/forward鏈。 3.4、自動啟動:設定了複雜的鏈,需要保存。在/etc/rc.d中建立一個文件:rc.ipfwadm把你的鏈腳本加進去就可以了。最後給這個文件+x屬性(chmod +x rc.ipfwadm)。 4.在2.4.X內核中使用iptables建立Linux防火牆(網關)。 4.1 說明和下載 前面已經提到過2.4 內核中要使用iptables來做類似於ipchains在2.2內核中實現的事情。事實上,在2.4內核中的iptables包含了兩個完全不同的部分:包過濾和地址轉換。這兩個功能在邏輯上是分開的,考慮到操作習慣上的問題才集成在一個配置程序(iptables)上。如果你安裝了帶有2.4內核的發行包,那麼一般都帶有iptables,並且在內核配置上也配置好了。如果要編譯新的內核或者原來的內核沒有支持iptables,需要選上相關的選項。使用make menuconfig 配置內核的時候操作:進入:Networking Options至少選擇上: [*] Network packet filtering (replaces ipchains) [*] Network packet filtering debugging (NEW) 進入:IP: Netfilter Configuration ---> [*] Connection tracking (required for masq/NAT) (NEW) FTP protocol support (NEW) IRC protocol support (NEW) 等等…… 把下面的選項全部標記<*> 逐級返回上面菜單後保存配置,然後按照編譯內核的那一套程序進行即可(參見前面的內容)。這裡需要說明的是,內核支持了iptables功能,還需要有外部程序才行。如果你是直接安裝的帶有2.4內核的發行包,應該已經帶有iptables實用程序了。但是如果你是從2.2核心的發行包直接升級到2.4內核,儘管按照上面的做法配置的核心,但是還不能使用iptables。還必須下載和編譯iptables外部程序才能使用iptables功能。下載的地址是:http://www.netfilter.org ,下載的文件是iptables-1.2.6a.tar.bz2或更新的版本。 4.2 安裝: 這個.bz2文件比較奇怪吧?把文件複製到/usr/local/src中,然後用下列命令釋放編譯和安裝: bzip2 -dc iptables-1.1.2.tar.bz2 |tar vxf - (最後那個『- 』別忘了) 你的系統可能沒有bzip2工具,如果沒有,你就去下一個: 進入新生成的目錄 :cd iptables-1.2.6a 編譯和安裝:make ; make install 4.3 配置 如果你需要配置一個簡單的網關,你僅僅需要配置一個轉發加地址轉換功能即可,我提供的參考腳本如下: #begin echo 1 > /proc/sys/net/ipv4/ip_forward modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F INPUT iptables -F FORWARD iptables –F OUTPUT iptables -F POSTROUTING -t nat iptables -t nat -F iptables -P FORWARD DROP iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 21.9.22.2 #end 其中3行modprobe是當你在內核中把iptables相關功能編譯成模塊(選成)的時候才用到的(也可能不止3行)。其中插入模塊(modprobe)的幾行比較重要,有時候當你作完NAT後,發現FTP不好用了,就要手工插入ip_nat_ftp模塊(語法是:modprobe ip_nat_ftp)。黑體的地址部分可能是需要根據你網絡的實際情況來決定的。最後一句話的意思是把凡是源地址是192.168.1.x的包做地址轉換,轉換為網關外側地址21.9.22.2。好了,你已經建立起一個基本的網關了。其實iptables的功能及其強大,配置也非常靈活。其中的防火牆功能通過-t filter參數實現,地址轉換功能通過-t nat實現(就像上面一樣)。防火牆功能(packet filter)主要是3個鏈:INPUT,FORWARD,OUTPUT,地址轉換功(nat)主要是3個鏈:PREROUTING,POSTROUTING,OUTPUT。觀察當前的狀態可以使用下面的命令:iptables –L –t filter 或 iptables –L –t nat。 好了,要配置出更靈活的、更強大的防火牆功能,全靠你自己了。我推薦你兩個手冊:《Linux 2.4 Packet Filter HOWTO》和《Linux 2.4 NAT HOWTO》。這兩個文檔是iptables的原作者寫的,相當經典。英文不好?沒關係,這兩個文檔都有中文版本。推薦你到:永遠的UNIX(http://www.fanqiang.com)下載。 |
| webasp.net |