《Linux服务器配置.doc》由会员分享,可在线阅读,更多相关《Linux服务器配置.doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、打开VMware,选择“文件”-“打开”,指向到rlel4.2文件夹下,打开虚拟机启动虚拟机,进入Linux,使用root帐户,密码为:123456用ifconfig查看虚拟机的IP地址为:192.168.145.3(所有实验就以192.168.145.3为例)鉴于实验测试,需要将linux虚拟机与windows2000主机连通,具体步骤如下:1、 打开linux虚拟机,选择”vm”菜单-“settings”,在弹出的窗口中,单击”Ethernet”, 在”network connection”一栏中选择”Host-only”-OK2、 选择”edit”菜单-“virtual network
2、settings”,点”summary”,查看Host-only所对应的virtual network的名称(如:VMnet1)和subnet的网段(如:192.168.145.0)3、 右击win2000的”网络邻居”,右击VMnet1,将TCP/IP属性的IP地址改为192.168.145.1,DNS:192.168.145.34、 进入linux系统后,修改IP为192.168.145.35、 重启网络服务;service network restart一、 DNS服务器的配置 1、DNS软件包的安装检查DNS软件包是否安装:rpm ql bind 2、DNS服务器配置 1)配置主配置文
3、件,主配置文件为:/etc/named.conf 在include“/etc/rndc.key“;行前添加:zone“ IN type master; file“jay.zone“; allow-update none;zone“145.168.192.in-addr.arpa”IN type master; file“3.zone”; allow-update none; 2)编写正向解析文件:/var/named/chroot/var/named/jay.zone 文件名jay.zone要与主配置文件中的file“jay.zone“对应内容如下:$TTL 86400 IN SOA loca
4、lhost. root.localhost.( 42 ; serial(d.adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS .dns IN A 192.168.145.3www IN CNAME dns 3)编写正向解析文件:/var/named/chroot/var/named/3.zone 文件名3.zone要与主配置文件中的file“3.zone“对应内容如下:$TTL 86400 IN SOA localhost. root.localhost.( 1997022700 ; Serial 28800 ;
5、Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS .3 IN PTR .3、修改DNS客户端配置文件/etc/resolv.conf添加:nameserver 192.168.145.3(192.168.145.3为DNS服务器IP地址)4、启动DNS服务器:service named start5、测试DNS:nslookup或ping 效果如下: 二、 FTP服务器的配置1、 软件包的查询与安装查询:rpm ql vsftpd2、启动与测试service vsftpd startftp:/3、访问控制(基于IP)1
6、)修改主配置文件/etc/vsftpd/vsftpd.conf为:tcp_wrappers=YES2)再修改/etc/hosts.allow和/etc/hosts.deny文件在hosts.allow中添加:vsftpd:192.168.145.1(除了本机IP以外的任意IP)在hosts.deny中添加:vsftpd:all3)重启vsftpd服务:service vsftpd restart 此时,vsftpd服务器将禁止本机访问 4、禁止匿名访问1)修改主配置文件:/etc/vsftpd/vsftpd.conf默认允许:anonymous_enable=YES改为不允许:anonymou
7、s_enable=NO 2)重启vsftpd服务:service vsftpd restart 5、允许本地用户访问 1)修改主配置文件:/etc/vsftpd/vsftpd.conf默认允许:anonymous_enable=NO改为不允许:anonymous_enable=YES 2)重启vsftpd服务:service vsftpd restart 6、文件上传 (1)匿名上传 1) 修改主配置文件:/etc/vsftpd/vsftpd.conf write_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_o
8、ther_write_enable=YES 2)建立专门用于匿名上传的文件夹 mkdir /var/ftp/income chown ftp:ftp /var/ftp/income 3)重启vsftpd服务:service vsftpd restart (2)有帐号用户上传 1)修改主配置文件:/etc/vsftpd/vsftpd.conf local_enable=YESwrite_enable=YES 2)重启vsftpd服务:service vsftpd restart 注:修改了/etc/vsftpd/vsftpd.conf主配置文件的重启vsftpd服务方可生效 7、限制访问目录(将
9、指定用户限定在其家目录中)1)所有用户被限定在其家目录中chroot_local_user=YESchroot_list_enable=NO2)vsftpd.chroot_list文件中的用户被限定在其家目录中chroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list3)vsftpd.chroot_list文件中的用户不被限定在其家目录中chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroo
10、t_list 8、限制用户访问 1)把不允许的访问帐号添加到/etc/vsftpd.user_list中 修改主配置文件:userlist_enable=YES 这样vsftpd.user_list中的用户不能访问而不在其中的就能访问 2)vsftpd.user_list中用户能访问而不在其中的则不能访问 修改主配置文件: userlist_enable=YES userlist_deny=no userlist_file=/etc/vsftpd.user_list 注:此时匿名也不能登录 9、为vsftpd服务器架设ssl支持 用FTP进行文件上传下载的时候,由于密码和内容都是明文传输,对于
11、安全性要求较高的站点来说,是非常危险的。用SSL配合vsftpd就能构建一台安全的vsftpd服务器 (1) cd /usr/share/ssl/certs (2) openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem (3) vi /etc/vsftpd/vsftpd.conf 在最后添回以下内容 ssl_enable=YES allow_anon_ssl=NO rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem (4)service vsftpd restart (5)测试支
12、持SSL的vsftpd 在与linux虚拟机相连的windows下用cuteftp进行测试,然后用ethereal抓包 三、 www服务器的配置1、 软件包的查询与安装查询:rpm ql httpd 2、启动与测试service httpd startvi /var/www/html/index.html输入:this is main page.http:/192.168.145.3或者 3、访问控制(基于主机)1)修改:/etc/httpd/conf/httpd.conf添加:AllowOverride AuthConfigOrder deny,allowAllow from 192.168
13、.145.1Deny from all2)创建secure文件夹:mkdir /var/www/html/secure 此时,只允许192.168.145.1访问secure文件夹而不允许本机访问 4、访问控制(基于用户名和密码)1) vi /var/www/html/secure/index.html输入:this page is restricted.http:/211.71.233.39/secure 2) vi /var/www/html/secure/.htaccess输入:AuthName “restricted stuff”AuthType BasicAuthUserFile /
14、etc/httpd/usersRequire user studentSatisfy any 3)修改:/etc/httpd/conf/httpd.conf添加:AllowOverride AuthConfig重启服务:service httpd restart,访问http:/192.168.145.3/secure,需要输入用户名和密码 3) 建立用户和密码:htpasswd c /etc/httpd/users student 修改文件属主:chown apache:apache /etc/httpd/users 5、访问控制(基于主机和用户) 结合3,4配置内容,将.htaccess文
15、件中satisfy any 改为satisfy all即可。 6、虚拟主机(基于域名)1)dns配置:正向解析数据文件添加记录:vh1 IN CNAME dns2)修改/etc/httpd/conf/httpd.conf添加:NameVirtualHost 192.168.145.3 ServerName DocumentRoot /var/www/html ServerAdmin webmasterdummy- DocumentRoot /var/www/html/vh1 ServerName ErrorLog logs/dummy-error_log CustomLog logs/dumm
16、y-access_log common 3)建立文件夹和默认页面:mkdir /var/www/html/vh1 vi /var/www/html/vh1/index.html 4)测试:四、DHCP服务器的配置1、软件包的查询与安装查询:rpm ql dhcp 如果提示没有安装,用下面的命令安装:cd /rootrpm ivh dhcp-3.0.1-12_EL.i386.rpm2、 DHCP服务器的配置主要通过/etc/dhcpd.conf文件进行。在缺省情况下,安装DHCP后该文件不存在,需要手工创建。可以从/usr/share/doc/dhcp-3.0.0.1目录下将子文件dhcpd.c
17、onf.sample复制到/etc目录下,改名为dhcpd.conf,在该文件基础上改1) cp /usr/share/doc/dhcp-3.0.0.1/dhcpd.conf.sample /etc/dhcpd.conf2) gedit dhcpd.conf &修改:subnet 192.168.145.0 netmask 255.255.255.0 option domain-name “” option domain-name-servers 192.168.145.3 range dynamic-bootp 192.168.145.10 192.168.145.123、 测试DHCP服务
18、将linux虚拟机与主机相连,然后将主机的“TCP/IP属性”设置为:自动获取IP五、 Samba服务器的配置Samba服务器实现linux与linux、windows之间的文件和打印机共享1、软件包的查询与安装查询:rpm ql samba2、Samba的四个安全级别(1)security=user Samba的默认设置,这种情况下要求用户在访问共享资源之前必须先提供用户名进行验证。 (2)security =share 几乎没有安全性的级别,任何用户都可以不要用户名和口令访问服务器上的资源。 (3)security=server 这个安全级别和user安全级类似,但用户名和密码递交到一个密
19、码服务器去验证。(4)security=domain 这种安全级别要求网络上存在一台主域控制器,samba把用户名和密码递交给主域控制器去验证。 3、Samba主配置文件为:/etc/samba/smb.conf由于smb.conf文件内容比较复杂,所以在配置该文件之前创建一个备份,以便配置出错时进行还原:cp /etc/samba/smb.conf /root(1)配置share级服务器1)关闭防火墙:service iptables stop2)gedit /etc/samba/smb.conf &workgroup=linuxserver string=samba server log
20、file=/var/log/samba/%m.logmax log size=50security=sharesocket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192homescomment=Home directoriesbrowseable=nowriteable=yesvalid users=%Screate mode=0644directory mode=0755 NewSharecomment=tmppath=/tmpbrowseable=yeswriteable=yesguest ok=yes 3)启动smb服务:servic
21、e smb start4)在与linux虚拟机相连的win2000主机上进行测试,搜索计算机:192.168.145.3 (2)配置user级服务器 1)在实验一的基础上,修改/etc/samba/smb.confworkgroup=linuxserver string=samba server 1log file=/var/log/samba/%m.logmax log size=50security=usersocket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192encrypt passwords=yessmb passwd file
22、=/etc/samba/smbpasswdhomescomment=Home directoriesbrowseable=nowriteable=yesvalid users=%Screate mode=0644directory mode=0755tmpcomment=tmppath=/tmpwriteable=yesguest ok=novalid users=user1 2)重启smb服务:service smb restart 3)建立系统帐号adduser user1 passwd user1 4)生成/etc/samba/smbpasswd口令文件cat /etc/passwd |
23、 mksmbpasswd.sh /etc/samba/smbpasswd 5)使用smbpasswd为user1设立samba server口令smbpasswd user1密码:user 6)在与linux虚拟机相连的windows主机上进行测试,搜索计算机:192.168.145.3第一次登陆时会要求输入用户名和密码六、 iptables防火墙的配置 1、初始化:service iptables stop2、drop掉所有进入主机的数据包:iptables t filter P INPUT DROP3、将iptables与ftp、www、dns、ssl等服务进行结合设置 1)结合FTP服务
24、器设置防火墙1) 修改FTP主配置文件(gedit /etc/vsftpd/vsftpd.conf)添加:pasv_enable=YES pasv_min_port=50000 pasv_max_port=600002) 重启vsftpd服务:service vsftpd restart3) 为FTP服务器添加防火墙规则iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m state -state NEW -m tcp -dport 21 -j ACCEPTipta
25、bles -A INPUT -p tcp -m state -state NEW -m tcp -dport 20 -j ACCEPTiptables -A INPUT -p tcp -m state -state NEW -m tcp -dport 50000:60000 -j ACCEPT 2)向外部开放www、dns、ssl等服务iptables t filter A INPUT p tcp dport 80 j ACCEPTiptables t filter A INPUT p udp dport 53 j ACCEPTiptables t filter A INPUT p tcp d
26、port 22 j ACCEPT 3)禁止所有主机ping本机 iptables A INPUT s 0/0 p icmp - icmp-type echo-request j DROP4、 iptables的规则查询、保存与恢复1) 查询:iptables L2) 保存规则:iptables-save iptables.rules3) 恢复规则:iptables-restore iptables.rules 七、 mail服务器的配置1、 软件包的查询与安装查询:rpm ql postfix rpm ql dovecot若提示没有安装,执行以下命令:cd /rootrpm ivh postf
27、ix-2.1.5-4.2.RHEL4.i386.rpm2、 配置postfix 1)向dns正向解析文件中添加MX记录 . IN MX 10 . . IN A 192.168.145.32) 修改主配置文件:/etc/postfix/main.cf69行左右: myhostname = 76行左右: mydomain = 108行左右:inet_interfaces = $myhostname, localhost154行左右:mydestination = $mydomain, $myhostname254行左右:mynetworks = 192.168.145.0/24启动postfix服
28、务:service postfix start3、 配置dovecot 修改主配置文件:/etc/dovecot.conf第14行:protocols = imap imaps pop3 pop3s启动dovecot服务:service dovecot start4、 用windows下的outlook或者linux下的Evolution进行测试测试之前先关掉防火墙:service iptables stop八、 snort的安装与配置1、 所需的软件包 iptables-1.2.9rc1.tar.bz2libnet-1.0.2a.tar.gzpcre-7.1.tar.gzsnort-2.6.
29、1.5.tar.gzsnortrules-pr-2.4.tar.gz 保存在/root目录中 2、安装iptablescd /roottar xvjf iptables-1.2.9rc1.tar.bz2cd iptables-1.2.9rc1make install-devel3、安装libnetcd /roottar xvzf libnet-1.0.2a.tar.gzcd Libnet-1.0.2a./configuremakemake install4、安装pcrecd /roottar xvzf pcre-7.1.tar.gzcd pcre-7.1./configuremakemake
30、install5、安装snortcd /roottar xvzf snort-2.6.1.5.tar.gzcd snort-2.6.1.5./configure -enable-inlinemakemake install如出错,按如下步骤处理:进入/usr/include:cd /usr/include备份原linux文件夹:mv linux linux.bak建立/usr/src/kernels/2.6.9-22.EL-smp-i686/include/linux文件夹的符号联结ln -s /usr/src/kernels/2.6.9-22.EL-smp-i686/include/linu
31、x linux再重新安装cd /root/snort-2.6.1.5./configure -enable-inlinemakemake install6、安装snort rulescd /roottar xvzf snortrules-pr-2.4.tar.gz -C /tmp7、启动mkdir /var/snortmkdir /var/log/snortcd /tmp/rulesmodprobe ip_queueservice iptables stopiptables -A INPUT -j QUEUEsnort -Q -D -c snort.conf -l /var/log/snort8、调试、测试1)调试查看snort是否启动:ps aux |grep snort cat /var/log/messages查看启动snort时哪些规则库有问题,需要修改,再重新启动注释/tmp/rules/web-misc.rules文件第97,98,452行注释/tmp/rules/snort.conf文件第536行.snort -Q -D -c snort.conf -l /var/log/snort2)测试在windows下用x-scan扫描linux查看警报记录 :cat /var/log/snort/alert