中小企业服务器配置方案(全文)
中小企业服务器配置方案 前言作 者: 汤海京
( 联想电脑公司软件事业部 E-mail:thjthj@263.net )
前 言
本书的读者对象是谁
如果读者您是一名中小企业的网络管理员,将要组建或正在管理一个小型商务网的话,那么本书对您可谓是再合适不过了,由于大多数的小型商务网都没有为计算机系统或专职技术人员准备太多预算,所以笔者从自身实践出发,总结并写下了下面的文字,希望能大大缩短您组网的时间和管理的难度。
应该如何阅读本书?
如果您是一名初级网管----不要着急,请多看看本书每章前的"简介"和每章末尾的"小结",对您迅速掌握相关理论知识很有帮助!
如果您是一名中级网管----没有关系,请对文字的东西一带而过,直接进入"配置方案",看看每种服务器配置是怎样实现的!
如果您是一名资深网管----也有的学,请仔细阅读笔者的配置文件,看看还有什么可以搜刮的,要是觉得写的不好,可以Mail给我:thjthj@263.net,本人不胜感激!!!
为什么是Linux不是NT?
众所周知,Linux的价格十分便宜且功能十分强大,所以她理所当然的成为大多数中小企业组网的首选方案。Linux不但具有稳定、高效、多功能的特性,并捆绑了大量应用软件,因此其功能也十分强大。
在我国,Linux所经历的正是几年前她在国外发展和推广的过程,相当数量的企业已经将他们的内部网转移到了Linux平台。Linux操作系统及其应用软件大多数可以在网上免费获得,所有的Linux发布版(如RedHat Linux,Turbo Linux等)也都可以以很低廉的价格在市场上买到,这比我们购买一套正版Windows 2000 Server要便宜多拉,而且不必为将来升级或者丰富应用再额外支出费用了。
本书独特的写作结构
往往人们谈到服务器配置总是想到一个服务器、一个操作系统,其实笔者认为服务器与服务是两个概念,本书讲的是服务,当然你把它装到硬件上自然也就成了服务器;比如你配了个DNS,装到一台联想的万全服务器上,那么这台服务器也就顺理成章地成了一台DNS Server……..
大家都知道一句话:"一切从用户的利益出发……",那么本书的结构也是从中小企业网络管理员的角度划分:接入服务器,DNS服务器,Web服务器,邮件服务器,文件服务器。
需要感谢的人
常言道:"实践是检验真理的唯一标准!",不错,不是干了快一年的服务器配置和网络管理,笔者也不会写下这么多东东,下面呈现给大家的文字都是我工作的总结和心血的结晶。
当然,在写作本书的过程中,我需要感谢给我实践机会的联想电脑公司软件事业部,感谢我们的项目"满意办公企业版(WebOA)",感谢项目组同事:田日晖、曹宜、石京海、卢亮、王柏冬、刘宁、刘新滨、乐卫明、殷红梅。
由于笔者水平有限,所以在写作过程中不免有许多问题,欢迎大家不吝赐教,多多指正,本人十分感激!
中小企业服务器配置方案 第一章(1)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第一节 单网卡
1.1 简介
作为局域网最基本的组成部分之一,网卡一般不在众多攒机者的标准配置之内,但如果局域网中没有网卡,就像只有显示器没有显卡一样是不行的。没有网卡是不可能构成一个局域网络的,它作为连接网络终端的重要配件,在整个网络里发挥着巨大的作用。网卡是网络接口卡,起着向网络发送数据、控制数据、接受并转换数据的功能。它安装在计算机或服务器的扩展槽中,充当计算机和网络之间的物理接口。
1.2 所需资源
1.2.1 所需包
RedHat6.2 服务器模式安装
1.2.2 所需配置文件
/etc/conf.modules 系统自带,管理员配置
/etc/sysconfig/network 系统自带,管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth0系统自带,管理员配置
1.2.3 相关工具
iptraf
说明:一个监控所有接入服务设备的工具,当然包括网卡
下载网址:[url]ftp://ftp.freesoft.cei.gov.cn/.mirror2/ftp.redhat.com/contrib/libc6/i386/iptraf-2.0.2-1.i386.rpm[/url]
linuxconf
说明:系统自带
netconf
说明:系统自带
1.3 配置方案
/etc/conf.modules
说明:驱动模块配置文件
源文件:
alias parport_lowlevel parport_pc
alias eth0 ne # Net device和 Kernel module
options ne io=0x240 irq=5 # 如果是ISA的网卡,需要设置IO和IRQ
如果不知道,可以装个98看看
/etc/sysconfig/network
说明:网络配置文件
源文件:
HOSTNAME= weboa # 服务器的主机名
DOMAINNAME="weboa.com.cn" # 服务器的域名
GATEWAY="192.168.0.1" # 网关设置
GATEWAY="eth0" # 网关所用设备
NETWORKING=YES # 是否启动网络服务
ONBOOT=YES # 网络服务配置在每次启动时生效
FORWARD_IPV4="yes" # 服务器支持IP转发
/etc/sysconfig/network-scripts/ifcfg-eth0
说明:第一块网卡配置文件
源文件:
DEVICE="eth0" # 网卡设备名称
BOOTPROTO="none"
IPADDR="192.168.0.1" # IP设置
NETMASK="255.255.255.0" # 子网掩码设置
ONBOOT="yes"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
1.4 测试及管理办法
1.4.1 测试方法
1. ifconfig
观察是否有eth0设备存在,设置的IP和子网掩码对不对
2. ping IP
先ping自己,看是否有回应;然后ping同网段其他机器。
1.4.2 管理方法
1. 通过linuxconf或者netconf修改网卡设置
然后执行:/etc/rc.d/init.d/network restart
2. 直接修改配置文件
然后执行:/etc/rc.d/init.d/network restart
1.5 其他参考资料
[url]http://www.ibiblio.org/mdw/HOWTO/Ethernet-HOWTO.html[/url]
著名网卡生产公司的网址:
深圳普瑞尔公司:[url]http://www.tp-link.com.cn[/url]
深圳国傲通公司:[url]http://www.topstar1.com/fuwu.htm[/url]
Accton:[url]http://www.accton.com[/url]
3COM公司:[url]http://www.3com.com.cn[/url]
D-Link公司:[url]http://www.dlink.com.tw[/url]
Intel公司:[url]http://www.intel.com.cn[/url]
Realtek公司:[url]http://www.realtek.com[/url]
美国Novell公司:[url]http://www.novell.com[/url]
1.6 相关安装方法
1.ISA网卡:
PNP的:
方法一:安装时候需要指明其IO和IRQ,如果不知道的话,
可以先安装个98,在"设备管理"里看看它的IO和IRQ。
方法二:pnpdump和isapnp可以实现
非PNP的:
需要先在98下刷新一下BIOS,变成PNP的,然后再安装
2.PCI网卡:
如果是Linux支持的,安装过程中就会被自动识别,并且会提示你输入IP,如果没有提示,那么说明你的网卡并没有被Linux识别,这样就比较麻烦了。一个简单的解决方法是按照该网卡的兼容网卡去安装,如果还不成,就得去网上搜索搜索了。
3.D-link530 RevB1 PCI网卡的安装:
系统支持D-link530 RevA PCI的网卡,但是后来D-link有出了个RevB1,多了WOL,所以原来的驱动via-rhine.o就不灵了,需要我们自己做一个驱动程序,很简单的。(注意:用黑体标志的是修改的地方)
编辑via-rhineB.c
static struct pci_id_info pci_tbl[] = {
{ "VIA VT86C100A Rhine-II", 0x1106, 0x6100, 0xffff,
PCI_USES_MEM|PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER,12
8,via_probe1},
{ "VIA VT3043 Rhine", 0x1106, 0x3043, 0xffff,
PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER, 128,via_probe1},
{ "VIA VT3043 Rhine RevB1", 0x1106, 0x3065, 0xffff,
PCI_USES_IO|PCI_USES_MEM|PCI_USES_MASTER, 128,via_probe1},
{0,}, /* 0 terminated list. */ };
然后修改 /usr/src/linux/drivers/net/Config.in
tristate \\\'PCI NE2000 support\\\' CONFIG_NE2K_PCI
tristate \\\'TI ThunderLAN support\\\' CONFIG_TLAN
tristate \\\'VIA Rhine support\\\' CONFIG_VIA_RHINE
tristate \\\'VIA Rhine RevB support\\\' CONFIG_VIA_RHINEB
if [ "$CONFIG_EXPERIMENTAL" = "y" ]; then
然后修改 /usr/src/linux/drivers/net/Makefile
ifeq ($(CONFIG_VIA_RHINE),y)
L_OBJS += via-rhine.o
else
ifeq ($(CONFIG_VIA_RHINE),m)
M_OBJS += via-rhine.o
endif
endif
ifeq ($(CONFIG_VIA_RHINEB),y)
L_OBJS += via-rhineB.o
else
ifeq ($(CONFIG_VIA_RHINEB),m)
M_OBJS += via-rhineB.o
endif
endif
配置kernel: make menuconfig
Networking device support --> Ethernet (10 or 100Mbit)
在新出现的 Via rhine Ver B一项前按 M
退出配置
make dep
make modules
make modules_install
如果/lib/modules/2.2.14-5.0/net/via-rhineB.o存在的话,我们就有戏拉。然后在这个目录下执行insmod via-rhineB.o,如果没有错误提示,就成功拉。
1.7 小结
网卡是组网中最基本的设备之一,所以网卡安装的成功与否直接关系着服务器配置的成败,Linux对网卡的支持可以说还是不错的,但由于其安装需要管理员手动配置,比起Windows的驱动程序安装要复杂得多,所以很多人认为Linux对硬件的支持很差,其实这是不正确的,如果你掌握了方法,安装起来还是很简单的。
中小企业服务器配置方案 第一章(2)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第二节 双网卡
2.1 简介
在使用Linux作为两个以太网之间的网关的情况下,服务器至少需要配置两块网卡。为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在"/etc/lilo.conf"文件中指定各个网卡的参数信息;而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在"conf.modules"文件中进行相应的配置。
2.2 所需资源
2.2.1 所需包
无
2.2.2 所需配置文件
/etc/conf.modules 系统自带,管理员配置
/etc/sysconfig/network 系统自带,管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth0 系统自带,管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth1 系统自带,管理员配置
2.2.3 相关工具
1.iptraf
说明:一个监控所有接入服务设备的工具,当然包括双网卡
下载网址:[url]ftp://ftp.freesoft.cei.gov.cn/.mirror2/ftp.redhat.com/contrib/libc6/i386/iptraf-2.0.2-1.i386.rpm[/url]
2.linuxconf
说明:系统自带
3.netconf
说明:系统自带
2.3 配置方案
/etc/conf.modules
说明:驱动模块配置文件
源文件:(以D-link530 RevA PCI为例子)
alias eth0 via-rhine
alias parport_lowlevel parport_pc
alias eth1 via-rhine
/etc/sysconfig/network
说明:网络配置文件
源文件:
HOSTNAME= weboa # 服务器的主机名
DOMAINNAME="weboa.com.cn" # 服务器的域名
GATEWAY="192.168.0.1" # 网关设置
GATEWAY="eth0" # 网关所用设备
NETWORKING=YES # 是否启动网络服务
ONBOOT=YES # 网络服务配置在每次启动时生效
FORWARD_IPV4="yes" # 服务器支持IP转发
/etc/sysconfig/network-scripts/ifcfg-eth0
说明:第一块网卡配置文件
来源:系统自带,管理员配置
源文件:
DEVICE="eth0" # 网卡设备名称
BOOTPROTO="none"
IPADDR="192.168.0.1" # IP设置
NETMASK="255.255.255.0" # 子网掩码设置
ONBOOT="yes"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
/etc/sysconfig/network-scripts/ifcfg-eth1
说明:第二块网卡配置文件
源文件:
DEVICE="eth1" # 网卡设备名称
IPADDR="192.168.1.1" # IP地址
NETMASK="255.255.255.0" # 子网掩码
ONBOOT="yes"
BOOTPROTO="none"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
2.4 测试及管理办法
2.4.1 测试方法
1.ifconfig
观察是否有eth0和eth1设备存在,设置的IP和子网掩码对不对
2.ping IP
先ping一下两个IP,看是否有回应;然后ping同网段其他机器。
2.4.2 管理方法
1.通过linuxconf或者netconf修改网卡设置
然后执行:/etc/rc.d/init.d/network restart
2.直接修改配置文件
然后执行:/etc/rc.d/init.d/network restart
2.5 其他参考资料
Ethernet HOWTO, by Paul Gortmaker Updated 6 July 1998
DNS HOWTO, by Nicolai Langfeldt Updated 12 November 1998
IP Masquerade mini-HOWTO, by Ambrose Au Updated 10 November 1997
IPCHAINS HOWTO, by Paul Russell Updated 27 October 1998
2.6 相关技巧
1./etc/lilo.conf也能帮助我们
若驱动已经被编译进了内核:系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在"/etc/lilo.conf"中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑"lilo.conf"文件,增加如下内容:
append="ether="0,0,eht1"
注意:先不要在"lilo.conf"中加入启动参数,测试一下你的ISA卡,若失败再使用启动参数。
如果用传递启动参数的方法,eth0和eth1将按照启动时被发现的顺序来设置。因为我们已经重新编译了内核,所以必须使用第二种方法(在 lilo.conf中加入启动参数)在系统中安装我们的第二块网卡。这种方法只对ISA卡有必要,PCI卡会被自动查找到,所以没有什么必要。
2.7 小结
在服务器上配置双网卡现在已经成为一个基本技能了,只有掌握了它,才能成为一名合格的网络管理员,双网卡其实是接入服务器的基础,当然也是网关配置的基础。总之,不会配置双网卡,没法学习下面的代理服务器配置;当然,我希望大家能够通过阅读本节掌握此项基本技能。
中小企业服务器配置方案 第一章(3)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第三节 DHCP服务器
3.1 简介
对于那些不太了解网路技术的人来说,配置TCP/IP可能是一件非常复杂的工作,对那些将PC连接到局域网的用户来说只能将配置集中到服务器端,这样可以简化用户端的工作复杂度。当然,这将在一定程度上,增加管理员的工作量,但是从整体考虑,这样是最优的。
本章我将向大家介绍如何配置动态IP分配以及管理,并用通俗易懂的语言解释它是如何工作的,希望大家通过阅读本章,迅速成为一名合格的网络管理员。 DHCP的全称是动态主机配置协议(Dynamic Host Configuration Protocol),由IETF(Internet 网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来,动态处理工作站IP地址的配置,用DHCP租约和预置的IP地址相联系,DHCP租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制,实现IP地址的集中式管理,基本上不需要网络管理人员的人为干预。而且,DHCP本身被设计成BOOTP(自举协议)的扩展,支持需要网络配置信息的无盘工作站,对需要固定IP的系统也提供了相应支持。
3.2 所需资源
3.2.1 所需包
dhcp-2.0-5.i386.rpm
3.2.2 所需配置文件
/etc/dhcpd.conf 系统自带,管理员配置
/var/state/dhcp/dhcpd.leases 系统没有,管理员创建
3.3 配置方案
/etc/dhcpd.conf
说明:dhcp主配置文件
源文件:
subnet 192.168.0.0 netmask 255.255.255.0 { # 指定网段和子网掩码
option routers 192.168.0.1; # 指定默认路由
option subnet-mask 255.255.255.0; # 指定dhcp的子网掩码
option domain-name "weboa.com.cn"; # 指定域名
option domain-name-servers 192.168.0.1; # 默认DNS服务器
range dynamic-bootp 192.168.0.10 192.168.0.250; # IP分配范围
default-lease-time 1200; #如果客户端不能请求一个指定的租用期,就使
用该参数来定义该地址租用的时间长度
max-lease-time 87600; #用来指定租用的最长时间,尽管租用的
时间长度是根据客户端的请求决定的。
# we want the nameserver to appear at a fixed address
# host ns {
# next-server marvin.redhat.com;
# hardware ethernet 12:34:56:78:AB:CD;
# fixed-address 207.175.42.254;
# }
}
# 以上被注释的部分用来给客户机分配一个永久的IP,也就是可以利用它
来做网卡和IP的绑定
/var/state/dhcp/dhcpd.leases
说明:IP分配记录文件
通过执行 touch /var/state/dhcp/dhcpd.leases生成
源文件:
空
3.4 测试及管理办法
3.4.1 测试方法
1. 管理员修改完配置文件之后需要执行/etc/rc.d/init.d/dhcpd restart
来使更改生效。
2.在Windows 98的客户端,用户需要将TCP/IP配置成为自动搜索IP。
3.在Windows 98的客户端可以运行winipcfg来动态申请IP。
4.管理员可以通过查看/var/state/dhcp/dhcpd.leases文件来监督IP资
源的分配情况。
3.4.2 管理方法
1. 可以通过执行 tail -f /var/state/dhcp/dhcpd.leases来监视IP的分配情况。
3.5 其他参考资料
1. 在Linux几乎都采用的是Paul Vixie/ISC DHCPd,来实现DHCP服务器端功能。可以访问: [url]http://www.isc.org/isc[/url]
3.6 小结
通过学习本章,各位一定有一个感觉,就是DHCP的配置十分的简单。在一定程度上是这样的,因为我向大家介绍的是一台主服务器带一个子网,这是最简单的一种网络拓扑结构,要是更加复杂的多子网情况,那配置起来就要更加麻烦一点,这就需要为每个子网配置一个中继代理(dhcrelay),它的文档在 Linux中都可以找到,一看就能明白了。
中小企业服务器配置方案 第一章(4)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第四节 IP伪装
4.1 简介
利用因特网的代理服务器技术可以解决目前因特网的IP地址耗尽、网络资源争用以及网络安全等问题。代理服务器是采取一种代理的机制,即内部的客户端必须经过代理服务器才能和外部的服务器端进行通信,而外部的任何一台主机只能访问到代理服务器。本文着重讨论利用Linux代理服务器解决IP地址耗尽、网络资源争用和网络安全等问题。
随着因特网技术的迅速发展,越来越多的计算机连入了因特网。目前已经联系着160多个国家和地区,上网的计算机已超过5000万台。它促进了信息产业的发展,并将改变人们的生活、学习和工作方式,对很多人来说,因特网已成为不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。
4.2 所需资源
4.2.1 所需包
ipchains-1.3.9-5.rpm
4.2.2 所需配置文件
/root/ipchains 自己写
4.3 配置方案
/sbin/rules
说明:
源文件:
# 以下是你需要增加的转发控制模块
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
/sbin/ipchains -P forward DENY # 在默认状况下拒绝所有 ip 转发。
echo 1 > /proc/sys/net/ipv4/ip_forward # 打开IP转发
ipchains -I forward -s 192.168.0.0/24 -d 0/0 -j MASQ
# 将来自192.168.0.0网段的申请转发
4.4 测试及管理办法
4.4.1 测试方法
1. 找一台局域网内的客户机,把IP设置成192.168.0.0网段的,ping一下外边,看能不能出去,就知道拉。
4.5 其他参考资料
1. 黄志伟,IP Masquerade HOWTO中文版
请访问:[url]http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html[/url]
4.6 相关技巧
1. 要是控制模块不存在,或许是不在路径下,可以执行depmod -a
4.7 小结
使用ipchains作为企业上网IP伪装十分实用,而且其配置十分简单, 并且功能强大,管理起来也十分简单。当然,其在安全性上还有不足,需要改进。
中小企业服务器配置方案 第一章(5)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第五节 Squid代理服务器
5.1 简介
作为一种免费的网络操作系统,Linux越来越受到广大网络爱好者的欢迎,目前因特网(Internet)上运行的主机有相当一部分采用的就是 linux操作系统,而且中国已经把linux操作系统作为政府上网年的指定网络操作系统,种种迹象表明,linux操作系统正在逐渐走向成熟。在本章我将向大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的配置方法。
众所周知,当今因特网发展速度极其迅猛,IP地址资源非常紧张。而如果您想访问因特网,共享因特网的丰富资源,您的机器必须拥有一个标准的IP地址。在因特网上,IP地址是识别您的机器的唯一标志。目前,有两种方式可以让您的机器拥有标准的IP地址:一种是局域网通过专线接入因特网,您的机器可以拥有静态的IP地址。所谓静态IP地址,就是对使用者来说,是固定不变的IP地址,这个IP地址给您使用后,其他人就不能再用了。一种是通过电话线拨号或ISDN 拨号等方式接入因特网,您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址,这个IP地址在您下线后就不归您使用了,而您下次拨号再上网,很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址,称为动态IP地址。无论是静态地址还是动态地址,在您的机器访问因特网时,使用起来没有什么区别。
现在因特网发展速度这么快,而IP地址资源又这么紧张,这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中,但远水不解近渴,好多的企业、公司内部的 Intranet现在就想接入因特网这个浩瀚的资源海洋,但又苦于没有充足的IP地址资源,怎么办?还好,有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址(以下称内部地址)的机器和因特网上的其他主机打交道,提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时,先把这个请求发给拥有标准IP地址的代理服务器,由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器,代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网,代理服务器的作用就是勾通内部网和因特网,解决内部网访问因特网的问题。而且这种代理是不可逆的,因特网上的主机不能访问任何一台拥有内部地址的机器,这样又可以保障内部资料的安全性。
能够完成这种代理功能的服务器软件有好多,我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀,是因为它可以在代理服务器上作一个很大的缓存,可以把好多常去的网站内容存储到缓存中,这样,内部网的机器再访问那些网站,就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度,这就是所谓的提高客户机的访问命中率,另一方面,Squid不仅仅支持HTTP协议,而且还支持FTP,GOPHER,SSL和WAIS等协议考虑到简捷实用的原则,我们本章只向大家介绍如何设置HTTP代理,而其他的代理大同小异,各位理解了HTTP的配置也就明白应该如何配置其他的代理了。
5.2 所需资源
5.2.1 所需包
squid-2.3.STABLE1-5.rpm
5.2.2 所需配置文件
/etc/squid/squid.conf 系统自带,管理员配置
5.2.3 相关工具
无
5.3 配置方案
/etc/squid/squid.conf
说明:squid主配置文件
源文件:
acl deny_ip_01 dst 1.1.1.1
http_access deny deny_ip_01
# 以上两行是基于IP的访问控制
acl deny_url_01 url_regex [url]http://www.www.www[/url]
http_access deny deny_url_01
# 以上两行是基于URL的访问控制
http_port 3128 # HTTP协议代理默认代理端口
cache_mem 32 MB #开劈一块内存区域作为缓冲
cache_dir ufs /home/squid/cache 1024 16 256
# 开劈一块硬盘空间,作为硬盘缓冲区,这块区域的分布是连
续的,逻辑关系由管理员设定
cache_access_log /var/log/squid/access.log
# 该log文件是用来描述每次客户请求HTTP内容时,高速缓
存命中或未命中的项目。同时描述提出请求的主机身份及它
们所需的内容。
cache_log /var/log/squid/cache.log
#用于描述当squid守护进程启动时,可看到有多少内存、交
换空间,高速缓存目录的位置,所接受的连接类型及接受连
接的端口。
cache_store_log /var/log/squid/store.log
#用于描述页面从高速缓存中被调入调出的情况。
pid_filename /var/run/squid.pid
#管理员可以通过查看此文件了解当前执行的squid进程。
dns_nameservers 192.168.0.1
#定义域名解析服务器的地址
acl all src 0.0.0.0/0.0.0.0
cache_mgr [email]root@weboa.com.cn[/email]
#设置cache管理员的邮件箱地址
reference_age 3 days
#设置缓冲区的更新周期
maximum_object_size 4096 KB
#设置允许被缓存的一次性最大请求
5.4 测试及管理办法
5.4.1 测试方法
1. 在客户机下打开浏览器,设置好代理服务器,端口是3128,看看能不能上网就是拉。
5.4.2 管理方法
1.修改完配置文件需要执行/etc/rc.d/init.d/squid restart使得配置生效。
5.7 小结
看完本章之后,我想各位一定有个深切的感受,squid的配置文件十分的长,而且能干的事情实在是太多了,但是我们作为一名合格的管理员应该从需求方案出发,以客户的需求为导向,配置出我们自己需要的服务器,这样不但可以满足需要,还能大大减少我们的工作量,配置squid就是一个鲜明的例子。
中小企业服务器配置方案 第一章(6)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第六节 Modem拨号
6.1 简介
首先向大家强调一点,我们这里所谈的PPP不是要将我们的服务器配置成为提供拨入服务的服务器,而是用户可以通过服务器拨号上网,简而言之就是,服务器可以按照客户的需求自动拨号上网,也就是所谓的按需拨号。
为什么我们要向大家介绍这项配置呢?因为虽然现在许多企业都用DDN上网,但是Modem在很大程度上还是有它的作用的,所以我们将向大家介绍一下如何实现PPP自动拨号上网。
6.2 所需资源
6.2.1 所需包
ppp-2.3.11-4.i386.rpm
6.2.2 所需配置文件
/etc/ppp/options
/etc/ppp/modemdial 系统没有,管理员创建
/etc/ppp/pap-secrets
/root/dial
6.2.3 相关工具
/usr/sbin/pppstats
6.3 配置方案
/etc/ppp/options
说明:PPP可选配置项
源文件:
demand # 启动按需拨号模式
modem # 使用modem控制线
lock # 打开设备锁
crtscts # 清除发送
defaultroute # 使用默认路由
asyncmap 0 # 设置异步map=0
ipcp-accept-local
ipcp-accept-remote
ipcp-max-configure 5
ipcp-restart 1
mtu 552 # 设置最大传输单位
mru 552 # 设置最大接受单位
name 169 # 设置用户名,与pap-secrets对应
usepeerdns # 自动抓取ISP的DNS
/etc/ppp/modemdial
说明:Modem拨号指令文件
源文件:
"" ATZ # 初始化设备
OK ATDT169 # 拨号
CONNECT "" # 握手连接
/etc/ppp/pap-secrets
说明:PAP模式口令加密文件
源文件:
169 * 169 # 用户名 * 密码
/root/dial
说明:pppd进程启动文件
源文件:
killall -9 pppd # 杀掉残留pppd进程
/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat
-t 3 -V -v -f /etc/ppp/modemdial"
# -d后跟设备名称,115200是连接速率,connect后跟拨号脚本
6.4 测试及管理办法
6.4.1 测试方法
1. 可以执行ps auxw|grep pppd,查看是否有pppd的守护进程。
6.4.2 管理方法
1. 执行 tail -f /var/log/message 可以观察拨号过程,当你看到已经从ISP分配到了IP并成功抓取到了DNS之后,说明拨号正确。
2. 执行 pppstats可以观察Modem的工作情况。
6.5 其他参考资料
1. diald:[url]http://home.loonie.net/~eschenk/diald.html)[/url]
2. webppp:([url]http://www.ajusd.org/~edward/webppp/)[/url]
6.6 相关技巧
1. 如果在字符界面下无法拨号,可以考虑装个Xwindows,用用她的拨号器。
6.7 小结
其实这一切很简单,通过我上面的叙述,大家不难发现,其实所谓的按需拨号,它的实现应该被划分成两个步骤:第一,先将服务器本身配置好,让它可以拨号上网;第二,编写自动拨号配置文件,使Linux服务器具备自动拨号的能力。其实,从客户端自动拨号与从服务器自动拨号的原理是一样的,只要有向外的请求,就应该自动启动拨号进程,而从客户机来的请求,最终将通过sendmail,squid等从服务器发送到Internet。所以我们只要配置好服务器上的自动拨号,也就能实现客户机的自动拨号。
中小企业服务器配置方案 第一章(7)
作 者: 汤海京
( E-mail:thjthj@263.net )
第一章 代理接入服务器
第七节 ISDN拨号
7.1 简 介
近两年来,ISDN在我国蓬勃发展起来,各省市的电信部门相继开通ISDN业务。尤其在上海、广州、福州、北京等地,ISDN的发展趋势更是势不可挡。就上海来说,到今年5月份,ISDN用户已达32,000。ISDN凭借其连接速度快、传输质量高等优势正吸引着越来越多的用户。
什么是ISDN?
ISDN是综合业务数字网的简称,它由电话综合数字网(IDN)发展而来。ISDN是数字交换和数字传输的结合,它以迅速、准确、经济、有效的方式提供目前各种通信网络中现有的业务,而且将通信和数据处理结合起来,开创了很多前所未有的新业务。 ISDN是一个全数字的网络,也就是说,不论原始信号是话音、文字、数据还是图象只要可以转换成数字信号,都能在ISDN网络中进行传输。在传统的电话网络中,实现了网络内部的数字化,但在用户到电话局之间仍采用模拟传输,很容易由于沿途噪声的积累引起失真。而对于ISDN来说,实现了用户线的数字化,提供端到端的数字连接,传输质量大大提高。
由于ISDN实现了端到端的数字连接,它可以支持包括话音、数据、图象等各种业务。随着电子通信在全球不断扩大,我们许多人需要和不同地区的用户交换信息。而现在人们对通信的要求已经不仅是简单的声音交换,还需要共享各种格式的不同信息。例如,有些人需要高速数据和文件传输;有些人可能需要多媒体和会议电视;有些人则希望能访问中央数据库。ISDN的业务覆盖了现有通信网的全部业务,例如传真、电话、可视图文、监视、电子邮件、可视电话、会议电视等,可以满足不同用户的需要。 ISDN还有一个基本特性是向用户提供了标准的入网接口。用户可以随意地将不同业务类型的终端结合起来,连接到同一接口上,并且可以随时改变终端类型。
ISDN主要有两种类型:基本速率(BRI)和基群速率(PRI)。电信局向普通用户提供的均为BRI接口,采用原有的双绞线,速率可达144Kb/s。 BRIISDN可在一对双绞线上提供两个B通道(每个64K)和一个D通道(16K),D通道用于传输信令,B通道则用于传输话音、数据等。一路电话只占用一个B通道,因此,在同时进行多种业务或对话。PRI接口速率为2.048Mb/s,用于需要传输大量数据的应用,如PBX,LAN互联等。
ISDN能做些什么?
ISDN可向用户提供各种各样的业务。目前CCITT将ISDN的业务分为三类:承载业务,用户终端业务和补充业务。
承载业务是ISDN网络提供的信息传送业务,它提供用户之间的信息传送而不改变信息的内容。常用的承载业务有:话音业务、3.1KHz音频业务和不受限 64K数字业务。打电话时一般采用话音业务,该种承载业务向网络表明目前用户是在打电话,网络可以对其做语音压缩、回波消除、数字话音插空等处理。 3.1KHz音频承载业务主要用于用调制解调器进行数据传输或用模拟传真机发传真的情况,这类业务可在网络中对信号进行数模变换,但是其他形式的话音处理技术必须禁止。若要使用ISDN拨号上网,则需要用不受限64K数字业务,此时网络对于传送的数据不做任何处理。有时用户若碰到申请的ISDN线路能打电话却无法拨号上网的情况,即可能是由于线路上为开放不受限64K数据承载业务所致。
用户终端业务是指所有面向用户的应用业务,它即包含了网络的功能,又包含了终端设备的功能。用户可以使用电话、4类传真、数据传输、会议电视等用户终端业务,但均需要终端设备的支持。
补充业务则是ISDN网络在承载业务和用户终端业务的基础上提供的其他附加业务,目的是为了给用户提供更方便的服务。目前上海市电信局向用户提供的补充业务有:多用户号码、子地址、主叫号码显示、呼叫等待、呼叫保持等。其中除多用户号码由于号码资源紧张需每个月交纳一定费用外,其他补充业务均为免费开放,当然首先您需要到电信局去申请这些业务。这些业务确实可给用户带来很大的方便。例如,呼叫等待业务可以使您在两个电话同时使用时,外面电话还能打进来。呼叫保持则使您在打电话时,将现有的电话暂时挂起,去打新的电话或接听其他电话,结束后在将原来的电话恢复。
为什么要用ISDN?
无论是个人还是公司,ISDN都应成为您的首选。因为它有以下诸多好处:
价格便宜:
由于使用单一的网络提供不同的业务,ISDN大大提高了网络资源的利用率。用户不必要购买不同的设备和线路接入不同的网络。就上海来说,目前电信局对用户推出ISDN优惠大套餐,只需花490元,即可获得上海贝尔生产的智能网络终端和ISDN适配卡,家中原有的模拟电话、传真机等都可直接接入,通过 ISDN适配卡可以128Kb/s的速率上网,所花的费用不到一块56K调制解调器的价钱。而且每条ISDN线路的月租费为24元,与模拟电话线相同,却可当两条模拟线路使用,何乐而不为呢?
高速数据传输:
使用ISDN,最高数据传输速率可达128Kb/s,相对于现有电话网中的数据速率提高了好几倍。对于因特网用户来说,使用56K调制解调器时文件下载速率最快时在4KB/s左右,还需视网络情况而定,而使用ISDN,若同时使用两个B信道,下载文件是速率最快可达12KB/s左右,提高整整3倍!这样,省下来的时间、电话费、上网费就相当可观了。
高的传输质量:
经常上网的用户肯定有类似经验,有时下载一个大文件花费了好几个小时,结果下载完后却发现由于线路质量差,误码率高,下载的文件不能使用。而使用ISDN 几乎不会发生这种问题。由于ISDN采用端到端的数字连接,传输质量很高,它不会象模拟线路一样受到静电和噪音的影响。此外,由于ISDN中的数字设备便于故障检测,系统可靠性也得到提高。
使用灵活方便:
ISDN提供各种业务,用户只需一个入网接口,就能使用网络提供的各种业务。例如,您可以把电话和个人电脑接入ISDN,在上网的同时可以打电话。还可接入可视电话、会议电视、ISDN路由器等设备。由于这些设备均有相应的国际标准,可以象家用电器一样具有便携性,可以从一个插座上拔到另一个有插座的地方去使用。
总的来说,ISDN是一个非常成熟的技术,它必将以其优质的服务、平民化的价格将您带入一个全新的数字时代。
7.2 内置ISDN卡
内置ISDN卡的安装比较麻烦,造成这种情况的主要原因是卡的型号比较多,而内核支持的范围十分有限,所以,笔者向大家推荐上海贝尔出的几种,我们只需要重新编译内核,加上我们用ISDN的型号就可以啦。
7.2.1 配置
内核配置文件
实例:
以下是我们需要的选项,由于现在市面上见到的所有中文Linux的发行版均不支持内置的ISDN,所以,我们要想用这个好东东只能自己动手啦。
在/usr/src/linux目录下执行make menuconfig,然后在ISDN项中选择一下选项:
<*> ISDN support
[*] Support synchronous PPP
[*] Use VJ-compression with synchronous PPP
[*] Support generic MP (RFC 1717)
[*] Support audio via ISDN
<M> HiSax SiemensChipSet driver support
[*] HiSax Support for EURO/DSS1
[*] Support for german chargeinfo
[*] Disable sending complete
[*] Disable sending low layer compatibility
[*] HiSax Support for Teles 16.3 or PNP or PCMCIA
[*] HiSax Support for Winbond W6692 based cards
然后存盘退出,执行make dep,make clean,make bzImage,make modules,make modules_install,depmod -a,make install。
此时,新的核心已经生成啦,而我们老的核心并没有被删除,只是做了一个备份,要是有什么问题,还是可以恢复的。最后我们需要重新启动使得新内核生效。
isdn4k-utils-3.1beta7_mini-1.i386.rpm
这是一个支持内置ISDN的包,安装上之后,系统就会识别我们的内置卡了,当然,为了实现拨号,我们还需要写一个拨号脚本以及相应的挂断脚本,它们是isdnon和isdnstop。
isdnon
实例:
#!/bin/sh
echo -n E > /dev/ttyS1
modprobe hisax type=36 protocol=2
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
#Kill previous ipppd process
if [ -r /var/run/ipppd.ippp0.pid ]
then kill -9 `cat /var/run/ipppd.ippp0.pid`
fi
if [ -r /var/run/ipppd.ippp1.pid ]
then kill -9 `cat /var/run/ipppd.ippp1.pid`
fi
#Variables
MYIP=0.0.0.0
REMIP=0.0.0.0
MYMSN=62986638
REMMSN=169
MYUSER=169
REMNAME=169
#Init
/sbin/isdnctrl verbose 3
#/sbin/isdnlog -sS -v1 -m0x17d7 -l0x3d7 -C /dev/console -D /dev/isdnctrl
#Add and set ippp0
/sbin/isdnctrl system on
/sbin/isdnctrl addif ippp0
/sbin/isdnctrl eaz ippp0 $MYMSN
/sbin/isdnctrl addphone ippp0 out $REMMSN
/sbin/isdnctrl huptimeout ippp0 3600
/sbin/isdnctrl l2_prot ippp0 hdlc
/sbin/isdnctrl l3_prot ippp0 trans
/sbin/isdnctrl encap ippp0 syncppp
/sbin/isdnctrl dialmode ippp0 auto
#Add and set ippp1
/sbin/isdnctrl addslave ippp0 ippp1
/sbin/isdnctrl eaz ippp1 $MYMSN
/sbin/isdnctrl addphone ippp1 out $REMMSN
/sbin/isdnctrl huptimeout ippp1 3600
/sbin/isdnctrl l2_prot ippp1 hdlc
/sbin/isdnctrl l3_prot ippp1 trans
/sbin/isdnctrl encap ippp1 syncppp
/sbin/isdnctrl dialmode ippp1 auto
/sbin/ifconfig ippp0 -arp -broadcast
#Startup PPP
/sbin/ipppd user $MYUSER remotename $REMNAME \
lock \
noipdefault \
+mp \
ipcp-accept-local \
ipcp-accept-remote \
name $MYUSER \
-detach \
mru 552 \
mtu 552 \
lcp-restart 1 \
defaultroute \
/dev/ippp0 &
/sbin/ipppd user $MYUSER remotename $REMNAME \
lock \
noipdefault \
+mp \
ipcp-accept-local \
ipcp-accept-remote \
name $MYUSER \
-detach \
mru 552 \
mtu 552 \
lcp-restart 1 \
defaultroute \
/dev/ippp1 &
isdnstop
实例:
#!/bin/sh
echo -n G > /dev/ttyS1
ifconfig ippp0 down >/dev/null 2>&1
isdnctrl delif ippp0 >/dev/null 2>&1
killall -9 ipppd >/dev/null 2>&1
sleep 2
echo -n H > /dev/ttyS1
7.2.2 测试及管理办法
1.管理员通过执行/sbin/imon来监控内置ISDN的工作状况
2.管理员可以执行/usr/sbin/ipppstats来监控内置ISDN的流量
7.3 外置ISDN
7.3.1 说明
由于现在最新的内核2.4.2不支持USB接口的ISDN.所以,我们这里所说的外置ISDN指的是串口的.
安装串口ISDN的方法有许多种,笔者从自身实践中感觉,将ISDN当成Modem一样用比较方便,这样不需要安装其余RPM包,又不用设置DNS,所以将外置串口的ISDN当Modem用既简单,又实用.
7.3.2 配置
/etc/ppp/isdndial
说明:
源文件:
"" ATZ # 初始化设备
OK ATX0 # 自动测试连接速率
OK AT%B8 # 以115200连接
OK ATB31 # 多链路连接(双信道)
OK ATD169 # 拨号
/etc/ppp/options
说明:
源文件:(同Modem)
demand
modem
lock
crtscts
defaultroute
asyncmap 0
ipcp-accept-local
ipcp-accept-remote
ipcp-max-configure 5
ipcp-restart 1
mtu 552
mru 552
name 169
usepeerdns
/etc/ppp/pap-secrets
说明:
源文件:(同Modem)
169 * 169
/root/dial
说明:
源文件:
killall -9 pppd
/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat -t 3 -V -v -f /etc/ppp/isdndial"
7.4 小结
ISDN在国内的应用越来越多,它比电话线拨号上网的带宽增大了许多,中小型企业通过它共享上网非常合适。
现在国内用在ISDN上网的设备有很多种,没有任何厂商声明支持Linux,但是Linux已经可以支持大多数ISDN设备。
ISDN上网与我们常用的Modem拨号上网类似。在Linux下甚至可以把ISDN卡模拟成Modem设备,所不同的是ISDN可以使用同步PPP(synchronous PPP),而Modem拨号一般使用异步PPP(anonymous PPP)。对于这两种拨号方式,邮局或ISP采用不同的接入设备。
尽管ISDN可以模拟成Modem进行异步模式的拨号,但一般只是用来测试ISDN卡是否运行正常,真正在上网时通常要用同步PPP拨号模式。
中小企业服务器配置方案 第二章
说明:正向解析配置文件,即实现域名到IP的对应
源文件:
@ IN SOA [url]www.weboa.com.cn.[/url] root.[url]www.weboa.com.cn.[/url]
#所有的区文件都以SOA开头,@指定当前的信息源,[url]www.weboa.com.cn[/url]这个值可以将域名和named.conf连接起来。通常只有一个@符号。
( 1997022700 ; Serial #序列号
28800 ; Refresh #刷新周期,以秒为单位
14400 ; Retry #循环周期
3600000 ; Expire #中止时间
86400 ) ; Minimum #time-to-live的时间
IN NS [url]www.weboa.com.cn.[/url]
#定义域名服务器
IN MX 10 mail.weboa.com.cn.
#定义邮件服务器,10表示优先级,越小越高
#实现域到IP的映射:
localhost IN A 127.0.0.1
www IN A 192.168.0.1
mail IN A 192.168.0.1
pop3 IN A 192.168.0.1
smtp IN A 192.168.0.1
@ IN A 192.168.0.1
/var/named/ip2name.conf
说明:DNS反向解析配置文件,即实现IP地址很域名的映射
源文件:
@ IN SOA [url]www.weboa.com.cn.[/url] root.[url]www.weboa.com.cn.[/url] (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS [url]www.weboa.com.cn.[/url]
IN MX 10 mail.weboa.com.cn.
1 IN PTR [url]www.weboa.com.cn.[/url]
#其中那个1的意思是IP的最后一位,可以是0-255,它与
/etc/named.conf中另外三位IP一起组成一个IP;定义逆向关系,
即[url]www.weboa.com.cn[/url]和192.168.0.1之间的对应。
/etc/hosts
说明:实现与网上其他主要计算机的映射,它通常是当作DNS的备
份出现的,也就是说,当DNS系统出现问题的时候才使用Hosts表。
源文件:
127.0.0.1 localhost.localdomain localhost
192.168.0.1 [url]www.weboa.com.cn[/url] www
#由于每台服务器都会有几个域名与IP的对应关系是永久的, 所
以Hosts表中存放的应该是它们。
/etc/resolv.conf
说明:指定域名服务器的IP和搜索顺序。
源文件:
domain
#定义本地域名。
search weboa.com.cn
#简化用户输入的主机名,即当用户输入mail时,使得DNS可以把
它成功地解析为mail.weboa.com.cn。它与domain是互斥的,无论
谁出现都是用来定义search列表的。
nameserver 192.168.0.1
#定义域名服务器的IP,最多三个,建议一般使用两个。
1.4 测试及管理办法
1.4.1 测试方法
1. 管理员修改完DNS的配置文件,需要执行/etc/rc.d/init.d/named
restart来是更改生效。
2. nslookup:测试正向、反向的解析是否正常
1.5 小结
DNS服务是许多服务的基础,所以配置一台Linux Server应该从DNS开始,并要从一开始就对你的服务器配置成什么样子有一个整体的把握,这样才能保证配置之间能够相互协调,避免错误的发生。
中小企业服务器配置方案 第三章(1)
作 者: 汤海京
( E-mail:thjthj@263.net )
第三章 Web服务器
第一节 Apache服务器
1.1 简介
Apache是世界排名第一的Web服务器,根据著名的Web服务器调查公司Netcraft的调查,世界上百分之五十以上的Web服务器都在使用Apache。
纵观Apache,它为我们的网络管理员提供了丰富多彩的功能,包括目录索引、目录别名、内容协商、可配置的HTTP错误报告、CGI程序的SetUID执行、子进程资源管理、服务器端图象映射、重写URL、URL拼写检查以及联机手册man等。也就是说,如果您在Linux Server上成功安装配置了Apache之后,您的计算机也将随着Apache的生效而摇身一变,成为一台名副其实的Web Server,这种变化的确是激动人心的。伴随着自由软件发展的强大动力,我们有理由相信Apache的未来是一片光明的。
在Internet时代,外部主页的发布已经成为树立公司形象的一个重要手段,而内部主页也成为公司管理的主要方式。但是,要想实现这些功能,首先应该把我们的Linux Server配置成为一台强大的Web Server。时至今日,全球应用最广泛的Web服务器软件就是Apache,本章将详细介绍如何配置Apache服务器。希望各位同仁能够通过阅读本片文章达到理论实践双丰收的目的,在很短的时间里迅速成为一名出色的网络管理员。
1.2 所需资源
1.2.1 所需包
RedHat6.2 服务器安装
1.2.2 所需配置文件
/etc/httpd/conf/httpd.conf 系统自带,管理员配置
/etc/httpd/conf/access.conf 系统自带,不需要修改
/etc/httpd/conf/srm.conf 系统自带,不需要修改
1.3 配置方案
/etc/httpd/conf/httpd.conf
说明:apache主配置文件
源文件:
ServerType standalone
#定义WebServer的启动方式为standalone,以增强其对大量访问的及时响应性
ServerRoot "/etc/httpd"
#指定包含httpd服务器文件的目录
LockFile /var/lock/httpd.lock
PidFile /var/run/httpd.pid
ScoreBoardFile /var/run/httpd.scoreboard
Timeout 300
#响应超时量,单位为秒
KeepAlive On
#允许用户建立永久连接
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
#要保留的空闲服务器进程的最小值
MaxSpareServers 20
#要保留的空闲服务器进程的最大值
StartServers 8
#系统启动时的守护进程数
MaxClients 150
#所能提供服务的最大客户端编号,大于它的部分被放入请求队列
MaxRequestsPerChild 100
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule env_module modules/mod_env.so
LoadModule config_log_module modules/mod_log_config.so
LoadModule agent_log_module modules/mod_log_agent.so
LoadModule referer_log_module modules/mod_log_referer.so
LoadModule mime_module modules/mod_mime.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule status_module modules/mod_status.so
LoadModule info_module modules/mod_info.so
LoadModule includes_module modules/mod_include.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule dir_module modules/mod_dir.so
LoadModule cgi_module modules/mod_cgi.so
LoadModule asis_module modules/mod_asis.so
LoadModule imap_module modules/mod_imap.so
LoadModule action_module modules/mod_actions.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule access_module modules/mod_access.so
LoadModule auth_module modules/mod_auth.so
LoadModule anon_auth_module modules/mod_auth_anon.so
LoadModule db_auth_module modules/mod_auth_db.so
LoadModule digest_module modules/mod_digest.so
LoadModule proxy_module modules/libproxy.so
LoadModule expires_module modules/mod_expires.so
LoadModule headers_module modules/mod_headers.so
LoadModule usertrack_module modules/mod_usertrack.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule perl_module modules/libperl.so
LoadModule php3_module modules/libphp3.so
ClearModuleList
AddModule mod_vhost_alias.c
AddModule mod_env.c
AddModule mod_log_config.c
AddModule mod_log_agent.c
AddModule mod_log_referer.c
AddModule mod_mime.c
AddModule mod_negotiation.c
AddModule mod_status.c
AddModule mod_info.c
AddModule mod_include.c
AddModule mod_autoindex.c
AddModule mod_dir.c
AddModule mod_cgi.c
AddModule mod_asis.c
AddModule mod_imap.c
AddModule mod_actions.c
#AddModule mod_speling.c
AddModule mod_userdir.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_auth_anon.c
AddModule mod_auth_db.c
AddModule mod_digest.c
AddModule mod_proxy.c
AddModule mod_expires.c
AddModule mod_headers.c
AddModule mod_usertrack.c
AddModule mod_so.c
AddModule mod_setenvif.c
AddModule mod_perl.c
AddModule mod_php3.c
Port 80
#定义服务器所使用的TCP的端口号
User nobody
Group nobody
#以上两行是分配给httpd的新用户的文件权限,出于安全的考虑把
它们的权限设置成为最低。
ServerAdmin [email]root@weboa.com.cn[/email]
#设置Web管理员的邮件地址
ServerName WebOA
#定义客户端从服务器读取数据时返回给客户端的主机名,其缺省值
是localhost,第一次安装Linux的时候经常这里出错。
DocumentRoot "/home/weboa/jakarta-tomcat/webapps/weboa"
#设置所有Apache文档的根目录,比如说,用户对
[url]http://www.weboa.com.cn/index.html[/url]的访问请求,Apache对它
的响应是/home/weboa/jakarta-tomcat/webapps/weboa/index.html
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory "/home/httpd/html">
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all # 允许所有人访问
</Directory>
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
#设置多种成功访问主页的方式,为的是提高系统的容错性
AccessFileName .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
UseCanonicalName On
TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
MIMEMagicFile share/magic
</IfModule>
HostnameLookups Off
ErrorLog /usr/httpd/log/error_log
LogLevel warn
#定义那些错误类型被记录到错误日志中
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
#所有的LogFormat都用来定义日志中的条目
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog /usr/httpd/log/access_log common
ServerSignature On
Alias /icons/ "/home/httpd/icons/"
#定义虚拟主机目录与系统目录的对应关系
<Directory "/home/httpd/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
ScriptAlias /cgi-bin/ "/home/httpd/cgi-bin/"
#定义CGI目录
<Directory "/home/httpd/cgi-bin">
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
</Directory>
IndexOptions FancyIndexing
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip
AddIconByType (TXT,/icons/text.gif) text/*
AddIconByType (IMG,/icons/image2.gif) image/*
AddIconByType (SND,/icons/sound2.gif) audio/*
AddIconByType (VID,/icons/movie.gif) video/*
AddIcon /icons/binary.gif .bin .exe
AddIcon /icons/binhex.gif .hqx
AddIcon /icons/tar.gif .tar
AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv
AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip
AddIcon /icons/a.gif .ps .ai .eps
AddIcon /icons/layout.gif .html .shtml .htm .pdf
AddIcon /icons/text.gif .txt
AddIcon /icons/c.gif .c
AddIcon /icons/p.gif .pl .py
AddIcon /icons/f.gif .for
AddIcon /icons/dvi.gif .dvi
AddIcon /icons/uuencoded.gif .uu
AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl
AddIcon /icons/tex.gif .tex
AddIcon /icons/bomb.gif core
AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^
DefaultIcon /icons/unknown.gif
ReadmeName README
HeaderName HEADER
AddEncoding x-compress Z
AddEncoding x-gzip gz tgz
AddLanguage en .en
AddLanguage fr .fr
AddLanguage de .de
AddLanguage da .da
AddLanguage el .el
AddLanguage it .it
LanguagePriority en fr de
<IfModule mod_php3.c>
AddType application/x-httpd-php3 .php3
AddType application/x-httpd-php3-source .phps
</IfModule>
<IfModule mod_php.c>
AddType application/x-httpd-php .phtml
</IfModule>
AddType application/x-tar .tgz
AddType text/html .shtml
AddHandler server-parsed .shtml
AddHandler imap-file map
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
<IfModule mod_perl.c>
Alias /perl/ /home/httpd/perl/
<Location /perl>
SetHandler perl-script
PerlHandler Apache::Registry
Options +ExecCGI
</Location>
</IfModule>
Alias /doc/ /usr/doc/
<Location /doc>
order deny,allow
deny from all
allow from localhost
Options Indexes FollowSymLinks
</Location>
include /etc/httpd/conf/tomcat-apache.conf
Alias /netcard "/home/weboa/jakarta-tomcat/webapps/weboa/net_card"
<Directory "/home/weboa/jakarta-tomcat/webapps/weboa/net_card">
Options Indexes FollowSymLinks
allow from all
</Directory>
CacheSize 5
#定义缓存区大小,以KB为单位。可以根据需要和硬盘空间大小进行设置
CacheGcInterval 4
#每隔4小时检查缓存区,如果已经超过CacheSize就删除文件
CacheMaxExpire 24
#HTTP文件最多被保持24小时
CacheLastModifiedFactor 0.1
#定义HTTP文件失效期,缺省是0.1 ,意思是说失效期=离最近一次修改的时间X<factor>,比如离最近一次修改的时间是5小时,那么失效期就是5X0.1=0.5小时
CacheDefaultExpire 1
#这一指令提供一个缺省的时间(小时)来销毁缓存的文件,这些文件的最后更改时间不详。CacheMaxExpire 命令不覆盖这一设置
## 以下是如何对一个目录进行登陆控制的方法 ##
在/etc/httpd/conf/httpd.conf中添加以下内容:
Alias /weboa/ "/home/weboa/"
<Directory "/home/weboa">
Options Indexes MultiViews
AllowOverride authconfig
Order allow,deny
Allow from all
</Directory>
在/home/weboa目录下建立.htaccess文件
authname "shared files"
authtype basic
authuserfile /etc/httpd/conf/passwd
require valid-user
在/etc/httpd/conf目录下执行命令生成认证文件
htpasswd -c thj thj #创建认证文件和第一个名和密码
htpasswd weboa weboa #添加其他用户名和密码
### 以下是做虚拟主机的实现方法 ###
需要在/etc/httpd/conf/httpd.conf中添加下列内容:
Alias /webadmin/ "/home/weboa/webadmin/html/"
<Directory "/home/weboa/webadmin/html">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
NameVirtualHost 192.168.0.1 #虚拟域名的DNS服务器
ServerAdmin [email]root@weboa.com.cn[/email] #网管邮件地址
DocumentRoot /home/weboa/webadmin/html/ #服务器页面目录
ServerName webadmin.weboa.com.cn #服务器名称
需要在/var/named/name2ip.conf中添加的内容:
webadmin IN A 192.168.0.1
1.4 测试及管理办法
1.4.1 测试方法
1.每当管理员更改了Apache的设置之后,都应执行 /etc/rc.d/init.d/httpd restart使得更改生效。
1.4.2 管理方法
1. Apache提供大量的日志文件,当Apache出错的时候,管理员可以根据htppd.conf中的ErrorLog定义的路径来诊断。具体方法是:
tail -f /var/log/httpd/apache/error_log
1.5 小 结
Web服务是Internet服务器最基本的服务,Linux发行版中包含的Apache软件是性能优良的Web服务器,也是 Internet上最流行的Web服务器,由于它时刻都经历着无数使用者的测试,所以现行的Apache的默认选项已经是十分适合我们大家的了,你只需要更改其中几个与当前应用环境紧密相关的选项就可以达到你的目的了。
中小企业服务器配置方案 第三章(2)
作 者: 汤海京
( E-mail:thjthj@263.net )
第三章 Web服务器
第二节 Tomcat服务器
2.1 简介
Jsp是sun在servlet基础上发展而来的一种新的web开发工具,在国外Ejb+jsp/servlet+应用服务器+数据库已经已经成为电子商务站点的流行架构。tomcat3.1实现了最新的servlet2.2和jsp1.1标准,sun也是推荐使用tomcat,本文介绍tomcat3.1在RedHat下的安装。
2.2 所需资源
2.2.1 所需包
1. jdk1_2_2-linux-i386.tar.gz
[url]http://java.sun.com[/url]
2. jakarta-tomcat.tar.gz,
[url]http://jakarta.apache.org/builds/tomcat/release/v3.1/bin/[/url]
3. mod_jserv.so
[url]http://jakarta.apache.org/builds/tomcat/release/v3.1/bin/linux/i386/[/url]
2.2.2 所需配置文件
/etc/profile
/usr/local/jakarta-tomcat/conf/server.xml
/usr/local/jakarta-tomcat/conf/tomcat.properties
2.3 安装步骤
安装JDK
cd /usr/local
tar zxvf /root/jdk1_2_2-linux-i386.tar.gz
mv jdk1.2.2 jdk
修改/etc/profile环境文件
添加以下内容:
JAVA_HOME=/usr/local/jdk
CLASSPATH=/usr/local/jdk/lib:/usr/local/jre/lib
PATH=$PAHT:/usr/local/jdk/bin:/usr/local/jre/bin
export JAVA_HOME
export CLASSPATH
安装Tomcat
cd /usr/local
tar zxvf /root/jakarta-tomcat.tar.gz
整合Apache和Tomcat
cd /home/httpd
mkdir libexec
cp /root/mod_jserv.so /home/httpd/libexec
cp /usr/local/jakarta-tomcat/conf/tomcat.conf /etc/httpd/conf
vi /etc/httpd/conf/httpd.conf
在文件末尾添加以下内容:
Include /etc/httpd/conf/tomcat-apache.conf
2.3 配置和管理TOMCAT
1. /usr/local/jakarta-tomcat/conf/server.xml
2.4 测试及管理办法
2.4.1 测试方法
1.在服务器上任意目录下键入java,看看有没有执行
2.浏览[url]http://192.168.0.1:8080[/url]看看有没有那只可爱的小猫就成拉!!
3.浏览[url]http://192.168.0.1/examples/jsp/index.html[/url]来测试Apache和Tomcat是否成功整和。
2.5 其他参考资料
1. 关于tomcat的信息请到[url]http://jakarta.apache.org[/url]
2. 其他jsp方面的信息可以到[url]http://java.sun.com/jsp[/url]
2.6 小 结
Tomcat和Jserv之间的区别是什么? Tomcat==Jserv,不是吗?
这是一种普通的误解。Jserv是被建立为与阿帕奇一起使用的Servlet API 2.0兼容的容器。 Tomcat是完全重写并且兼容Servlet API 2.2和JSP 1.1的一种容器。
Tomcat使用了一些Jserv的代码,尤其是Jserv的阿帕奇服务器适配器(adapter), 但是相似的地方仅此而已。
中小企业服务器配置方案 第三章(3)
作 者: 汤海京
( E-mail:thjthj@263.net )
第三章 Web服务器
第三节 Apache+Jserv整和
一、需要的源码包:
jdk-1_2_2_006-linux-i386.tar.gz
jsdk20-solaris2-sparc[1].tar.Z
ApacheJServ-1.1.2.tar.gz
二、安装过程
安装jdk1.2.2
解开压缩包
tar xvzf jdk1_2_2_006-linux-i386.tar.gz
目录的处理
ln -s jdk1.2.2 jdk
ln -s jdk/jre jre
(3) 设置$JAVA_HOME,$CLASSPATH
vi /root/.bash_profile
加入:
JAVA_HOME=/usr/local/jdk
export JAVA_HOME
CLASSPATH=/usr/local/jdk/lib:/usr/local/jre/lib
export CLASSPATH
PATH=$PATH:/usr/local/jdk/bin:/usr/local/jre/bin
注:JDK的安装到此结束。
安装JSDK
tar zxvf jsdk20-solaris2-sparc[1].tar.Z
将产生的JSDK2.0目录移到 /usr/local/JSDK2.0
mv JSDK2.0 /usr/local/JSDK2.0
注:JSDK的安装到此结束。
Apache和Jserv的静态混合编译
所谓的静态编译是指将Jserv编译进apache里
tar xvzf apache_1.3.12.tar.gz
tar xvzf ApacheJServ-1.1.2.tar.gz
cd apache_1.3.12
./configure --prefix=/usr/local/apache
配置apache jserv编译参数
cd ../ApacheJServ-1.1.2
./configure \
--prefix=/usr/local/jserv \
--with-apache-src=../apache_1.3.12 \
--with-jdk-home=/usr/local/ jdk1.2.2 \
--with-java-platform=2 \
--with-JSDK=/usr/local/JSDK2.0/lib/jsdk.jar
make
make install
编译apache和apache jserv
cd ../apache_1.3.12
./configure \
--prefix=/usr/local/apache \
--activate-module=src/modules/jserv/libjserv.a
make
make install
执行/usr/local/apache/bin/httpd -l检查一下mod_jserv是否编译进apache了
更改配置文件 /usr/local/apache/conf/httpd.conf
添加 Include /usr/local/jserv/etc/jserv.conf
更改配置文件 /usr/local/jserv/etc/jserv.conf
SetHandler jserv-status
order deny,allow
deny from all
加入你的信任主机allow from xxxx
这样在信任主机上通过[url]http://yourserver/jserv/([/url]注意后面这个"/"不能少)可以看到你的apache jserv的配置信息。
接着在/usr/local/jserv/servlets下放入你自己的servlet class实验一下效果吧,测试结果表明在redhat6.2下没有中文显示问题,一切ok!
其他关于servlet zone的设置、load balance等等请参考apache jserv文档和java.apache.org网站
注:Apache和Jserv混合编译到此结束
三、最后的测试:
1. 启动apache:/usr/local/apache/bin/apachectl start
2. 用浏览器测试[url]http://yourserver/servlets/IsItWorking[/url]
看见了Yes,It's working!了吗?你成功了!!
中小企业服务器配置方案 第三章(4)
作 者: 汤海京
( E-mail:thjthj@263.net )
第三章 Web服务器
第四节 Linux下Apache、php3、MySQL的整合
一、所需的安装包
apache_1.3.19.tar.gz
php-4.0.4.tar.gz
mysql-3.23.32.tar.gz
注意:以上均为源代码而非RPM包
二、软件安装
安装MySQL
解开压缩包
cd /usr/local
tar -zvxf mysql-3.23.32.tar.gz
将产生mysql-3.23.32目录移到/usr/local/mysql
mv mysql-3.23.32 /usr/local/mysql
编译MySQL
cd /usr/local/mysql
./configure --prefix=/usr/local/mysql
make
make install
安装数据库文件
/usr/local/mysql/scripts/mysql_install_db
/usr/local/mysql/bin/safe_mysqld &
MySQL授权操作
MySQL的存取控制技术功能强大,比Postgres更加具有灵活性。MySQL采用的用户名和密码的加密算法与Unix系统不尽相同,其用户名可以长达16个字符。
先以root登陆MySQl,然后在MySQL的提示符下键入grant all privileges on *.* to thj@localhost identified by 'thj' with grant option; 这样,无论用户thj从什么地方登陆到这台服务器都可以使用MySQL。
MySQL数据库简单操作语句
创建数据库
命令:create database 数据库名;
删除数据库
命令:drop database 数据库名;
查询MySQL中都有什么数据库
命令:show databases;
更改当前使用的数据库
命令:use tbl_name
创建数据表
命令:create table tbl_name ( column_specs );
说明:tbl_name 数据表名 column_specs 表中列的说明
查询指定的数据表的结构
命令:describe tbl_name;
查询数据库中都有什么数据表
命令:show tables;
增加新记录
命令:insert into tbl_name (col_name1,col_name2,…) values(values1,values2,….)
说明:insert语句简单易用,但是它也有一个缺陷,就是每次只能插入一条记录。
批量装载数据
命令:load data local infile "filename.txt" into table tbl_name;
说明:MySQl的版本不得低于3.22.15,否则load data local不起作用。该语句实际上是调用了/usr/bin/mysqlimport。
检索信息
命令:select 要选择的东西 from 一个或多个表 where 数据必须满足的条件
注:在MySQL中,每键入一条命令之后,在命令行的结尾都要敲入";",标志是一条命令,或者敲回车之后再敲go,提示系统执行上边的命令;另外,在多数关于MySQL的参考书中,命令都为大写,实际上小写也可以;还有,use语句可以不加";",这是所有MySQL语言中唯一一个不需要加";"就可以执行的语句。
注:MySQL的安装到此结束
Apache、PHP3的混合编译
解开压缩包
cd /usr/local
tar xvzf apache_1.3.19.tar.gz
tar xvzf php-4.0.4.tar.gz
mv apache_1.3.19.tar.gz apache
mv php-4.0.4.tar.gz php
把Apache的安装目录定为/usr/local/apache
cd apache
./configure --prefix=/usr/local/apache --with-port=8000
配置支持MySQL、作为Apache功能模块、跟踪变量有效
cd ../php
./configure --with-mysql=/usr/local/mysql --with- apache=../apache --enable-track-vars -with-pgsql=/usr/lib/pgsql --prefix=/usr/local/apache/php -with-config-file-path=/usr/local/apache/php
make
make install
注:PHP的安装到此结束
配置Apache,加入PHP4的模块
cd ../apache
cp /usr/local/php/libs/libphp4.a \
/usr/local/apache/src/modules/php4
./configure --prefix=/usr/local/apache --activate- module=src/modules/php4/libphp4.a --with-port=8000
make
make install
注:APACHE安装完毕
更改配置
把php.ini文件拷到/usr/local/apache/php目录下.
cd ../php
cp php.ini-dist /usr/local/apache/php/php4.ini
更改Apache的配置文件
cd /usr/local/apache/conf
vi httpd.conf
找到 AddType application/x-httpd-php .php4 把它前头的#号给删了当然也可加一行 AddType application/x-httpd-php3.asp 这样用FrontPage编辑会方便一点。
最后运行/usr/local/apache/bin/apachectl start启动apache进程
中小企业服务器配置方案 第四章(1)
作 者: 汤海京
( E-mail:thjthj@263.net )
第四章 邮件服务器
第一节 Sendmail服务器
1.1 简介
邮件服务是用户所需要的最重要的网络服务。Web的通信量很大,但邮件主要用于个人之间的通信,而人-人的通信是商务的基础。没有邮件服务的网络是不完整的网络。换句话说,如果不能给用户提供完整的TCP/IP下的邮件支持,这样的网络操作系统也不值得信赖。
配置sendmail是一件大而复杂的工作,但也不完全都是这样,与其他一些网络服务器系统只安装SMTP服务器软件的情况相比,Linux已经配置好了多数的设置。在多数系统下,缺省配置都能良好的运行。我将在本章中给出一些配置的建议,主要的一些配置参数建议大家不要随意更改。
1.2 所需资源
1.2.1 所需包
RedHat6.2 服务器安装
1.2.2 所需配置文件
/etc/sendmail.cf 系统自带,管理员配置
/etc/sendmail.cw 系统自带,管理员配置
1.3 配置方案
/etc/sendmail.cf
说明:sendmail主配置文件
控制sendmail运行时的配置。完整的sendmail配置应该包括7部分:
Local Info(本地信息):这部分定义了本地主机的信息
Options(选项):用来设置定义sendmail环境的选项。
Message Precedence(消息的优先级):sendmail消息优先级
Trusted Users(信任用户):定义发送邮件时允许改变发送地址的用户
Format of Headers(头格式):定义在sendmail中插入的邮件头信息
Rewriting Rules(改写规则):这部分保存着改写邮件地址命令使用该命令可以将邮件地址从用户邮件程序的地址形式改写为邮件发送程序所需要的地址形式。
Mailer Definition(邮寄者说明):定义发送邮件的程序,改写规则是邮件者使用的规则,在本部分定义。
源文件:
V8/Berkeley
Cwlocalhost
Fw /etc/sendmail.cw
CP.
DYuunet.uu.net
CPUUCP
DS mail.weboa.com.cn
CO @ % !
C..
C[[
Kmailertable hash -o /etc/mail/mailertable
#制作db库
Kdomaintable hash -o /etc/mail/domaintable
Kgenerics hash -o /etc/mail/genericstable
Kvirtuser hash -o /etc/mail/virtusertable
Kaccess hash -o /etc/mail/access
Kmxserved bestmx -z: -T
Kresolve host -a -T
FR-o /etc/mail/relay-domains
DR
DH
Kdequote dequote
CM root
DM mail.weboa.com.cn
#设置邮件服务器名称
DnMAILER-DAEMON
CPREDIRECT
DZ8.9.3
O SevenBitInput=False
O EightBitMode=pass8
O AliasWait=10
O AliasFile=/etc/mail/aliases,/etc/mail/majordomo
O MinFreeBlocks=100
#规定最小空闲块
O MaxMessageSize=1000000
#指定用户一次最大发送的邮件大小
O BlankSub=.
O HoldExpensive=False
O DeliveryMode=background
O AutoRebuildAliases=true
O TempFileMode=0600
O HelpFile=/etc/mail/sendmail.hf
O SendMimeErrors=True
O ForwardPath=$z/.forward.$w:$z/.forward
O ConnectionCacheSize=2
O ConnectionCacheTimeout=5m
O UseErrorsTo=False
O LogLevel=9
#记录到日志文件的事件等级
O CheckAliases=False
O OldStyleHeaders=True
O PrivacyOptions=authwarnings,noexpn,novrfy
O QueueDirectory=/var/spool/mqueue
O Timeout.queuereturn=4d
O Timeout.queuewarn=4h
O SuperSafe=True
O StatusFile=/var/log/sendmail.st
O DefaultUser=8:12
O SmtpGreetingMessage=$j Sendmail $v/$Z; $b
O UnixFromLine=From $g $d
O OperatorChars=.:%@!^/[]+
Pfirst-class=0
Pspecial-delivery=100
Plist=-30
Pbulk=-60
Pjunk=-100
Ft -o /etc/mail/sendmail.ct
Troot
Tdaemon
Tuucp
R$* $#error $@ 5.7.1 $: "550 Relaying denied"
#以上是Linux默认的选项,不允许客户机使用mail服务器收发邮件,如果允许客户机收发的话应将上边一句话改成
R$- $@ok
#注意:中间是两个tab键
#一下是邮件头信息
H?P?Return-Path: <$g>
HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
H?D?Resent-Date: $a
H?D?Date: $a
H?F?Resent-From: $?x$x <$g>$|$g$.
H?F?From: $?x$x <$g>$|$g$.
H?x?Full-Name: $x
H?M?Resent-Message-Id: <$t.$i@$j>
H?M?Message-Id: $t.$i@$j
#以上是邮件头信息
管理员需要执行touch /etc/mail/aliases 和 touch /etc/mail/majordomo来创建两个文件,然后重新启动sendmail,利用sendmail.cf里生成db库的配置来生成两个库文件:aliases.db和majordomo.db;当然,管理员也可以通过执行makemap hash mailertable < mailertable来生成新的db,这样可以不重新启动。
1.4 测试及管理办法
1.4.1 测试方法
管理员可以通过执行/etc/rc.d/init.d/sendmail restart来使更改的配置生效。
管理员通过执行 fetchmail -u yourname yourserver 来为没有邮件用户制定他们的口令,用户需要在客户端作相应的设置。
管理员应该打开pop3服务,即更改配置文件
管理员在服务器上可以通过执行 echo test | /usr/sbin/sendmail \ - v [email]thj@weboa.com.cn[/email]来测试建立好的邮件用户是否能够正常工作。
1.5 小结
其实我们只要设置其中的几个地方就可以实现mail服务器的功能,这是因为sendmail有很强的适用性,并且它是在不断更新的。所以现在提供给我们的sendmail的配置方案已经经过实践检验,不需要管理员做太大改动,就可以实现强大的sendmail功能。
中小企业服务器配置方案 第四章(2)
作 者: 汤海京
( E-mail:thjthj@263.net )
第四章 邮件服务器
第二节 Qmail服务器
2.1 简介
Qmail是一种可以完全替代Sendmail-binmail体系的新一代Unix邮件系统.Qmail与Sendmail比起来有很多特性,包括:
安全
----Qmail将Mail处理过程分为多个过程,尽力避免用root用户运行.同时Qmail禁止对特权用户(root,deamon等)直接发
信.
可靠
----Qmail的直接投递保证Email在投递过程中不会丢失. Qmail同时支持新的更可靠的信箱格式Maildir,保证系统在突然崩溃情况下不至破坏整个信箱.
高效
----在运行于奔腾的BSD/OS上,Qmail每天可以轻松的投递200000封信件.
简单
----Qmail要比其他的Internet Mail系统小得多.Qmail通过统一的向前机制完成forwarding,alias和maillist等功能,Qmail使用简单高效队列来处理投递.Qmail-smtpd可以由inetd启动,节省了一定资源.
Qmail支持:
host and user masquerading
full host hiding
virtual domains
null clients
list-owner rewriting
relay control
double-bounce recording
arbitrary RFC 822 address lists
cross-host mailing list loop detection
2.2 所需资源
2.2.1 所需包
qmail-1.03.tar.gz Qmail基本系统包
ucspi-tcp-0.88.tar.gz tcpserver等服务程序
daemontools-0.70.tar.gz 监视工具
checkpassword-0.90.tar.gz pop3验证用户程序
vpopmail-4.9.8.tar.gz 虚拟域用户pop3支持
vqsignup-0.4 web方式用户注册
sqwebmail-1.2.4.tar.gz webmail
qmailadmin-0.42.tar.gz 虚拟域web方式管理
ezmlm-0.53.tar.gz 邮件列表管理
autorespond-1.0.0.tar.gz 自动回复程序
2.2.2 下载网址
[url]http://www.qmail.org[/url]
[url]http://www.inter7.com/qmail[/url]
2.3 安装过程
安装Qmail基本包
添加Qmail所必须的用户和组
mkdir /var/qmail
groupadd nofiles
useradd -g nofiles -d /var/qmail/alias alias
useradd -g nofiles -d /var/qmail qmaild
useradd -g nofiles -d /var/qmail qmaill
useradd -g nofiles -d /var/qmail qmailp
groupadd qmail
useradd -g nofiles -d /var/qmail qmailq
useradd -g nofiles -d /var/qmail qmailr
useradd -g nofiles -d /var/qmail qmails
安装Qmail包
cd /usr/local/src
tar xvzf qmail-1.03.tar.gz
cd qmail-1.03
make setup check
./config-fast $HOSTNAME
# 设定Qmail服务器主机名
cd ~alias;touch .qmail-postmaster .qmail-mailer-\
daemon .qmail-root
sed 's/Mailbox/Maildir\//' /var/qmail/boot/home >\
/var/qmail/rc
chmod 755 /var/qmail/rc
安装tcpserver等服务程序
cd /usr/local/src
tar xvzf ucspi-tcp-0.88.tar.gz
cd ucspi-tcp-0.88
make
make setup check
安装pop3验证用户程序
cd /usr/local/src
tar xvzf checkpasswd-0.90.tar.gz
cd checkpasswd-0.90
make
make setup check
chmod og-rx /bin/checkpassword
安装虚拟域用户pop3支持
groupadd vchkpw
useradd -g vchkpw vpopmail
mkdir ~vpopmail/etc
echo "127.0.0.:allow,RELAYCLIENT=\"\"" > ~vpopmail/etc/tcp.smtp
echo "192.168.0.:allow,RELAYCLIENT=\"\"" >> ~vpopmail/etc/tcp.smtp
echo ":allow" > /etc/tcp.smtp
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
cd /usr/local/src
tar xvzf vpopmail-4.9.8.tar.gz
cd vpopmail-4.9.8
make clean
./configure --enable-hardquota=10485760 --enable-deliver-filter=y
make
make install-strip
cd /home/vpopmail/bin
./vadddomain weboa.com.cn weboa
./vadduser [email]thj@weboa.com.cn[/email] thj
更改Sendmail为Qmail
killall -TERM sendmail
mv /usr/lib/sendmail /usr/lib/sendmail.org
mv /usr/sbin/sendmail /usr/sbin/sendmail.org
mv /etc/rc.d/init.d/sendmail /etc/rc.d/init.d/sendmail.org
ln -s /var/qmail/bin/sendmail /usr/lib/sendmail
ln -s /var/qmail/bin/sendmail /usr/sbin/sendmail
cp /root/qmail/qmail-start /etc/rc.d/init.d/ -f
cp /root/qmail/databytes /var/qmail/control/ -f
ln -s /etc/rc.d/init.d/qmail /etc/rc.d/rc3.d/S98qmail
制作Qmail控制脚本
#!/bin/sh
case "$1" in
start)
echo "start qmail:"
/var/qmail/rc &
echo "start smtp service:"
/usr/local/bin/tcpserver -v -x /etc/tcp.smtp.cdb 0 smtp \
/var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger \
smtpd 3 &
echo "start pop3 service:"
/usr/local/bin/tcpserver -H -R 0 pop3 /var/qmail/bin/ \
qmail-popup $HOSTNAME /home/vpopmail/bin/vchkpw \
/var/qmail/bin/qmail-pop3d Maildir & \
;;
stop)
echo "stop qmail:"
killall -9 tcpserver
killall -9 qmail-lspawn
;;
*)
exit 1
;;
esac
exit 0
安装监视工具
cd /usr/local/src
tar zxvf daemontools-0.70.tar.gz
cd daemontools-0.70
make
make setup check
#执行文件将安装于/usr/local/bin中。
#安装本工具后可以用 # mkdir /var/run/qmail
# supervise /var/run/qmail /var/qmail/rc
来启动qmail,还可以用svc来关闭或重启qmail,用svstat监视qmail运行情况
Qmail之Web解决方案
安装邮件列表管理
cd /usr/local/src
tar zxvf ezmlm-0.53.tar.gz
make
make man
make setup
安装自动回复程序
cd /usr/local/src
tar zxvf daemontools-0.70.tar.gz
gcc -Wall -o autorespond autorespond.c
cp autorespond /usr/local/bin/autorespond
安装虚拟域web方式管理
cd /usr/local/src
tar zxvf qmailadmin-0.42.tar.gz
cd qmailadmin-0.42.tar.gz
在安装前首先要考虑满足以下几项要求:
a.是否拥有一个vpopmail用户vchkpw
b.cgi-bin目录的所在位置
c.ezmlm目录的所在位置
d.autorespond目录的所在位置
如果能够达到以上要求,可以继续安装
./configure
make
make install-strip
检测安装是否正确:浏览器中打开路径
[url]http://mail.weboa.com.cn/cgi-bin/qmailadmin[/url],
看根据前面设置的用户和密码是否能够成功登录进去。
安装WebMail包
cd /usr/local/src
tar zxvf sqwebmail-1.2.4.tar.gz
cd sqwebmail-1.2.4.tar.gz
./configure --without-authpam --without-authuserdb \
enable-webpass=no --without-authpwd \
--without-authshadow
make configure-check
make
#当make时报错找不到db.h
可以 cp /usr/include/db1/db.h /usr/include/db.h
make check
make install-strip
make install-configure
检测安装是否正确:浏览器中打开路径
[url]http://mail.weboa.com.cn/cgi-bin/sqwebmail[/url]
安装vqsignup
tar xvfz vqsignup-0.4.tar.gz
cd vqsignup-4.0
修改Makefile文件:
FLAGS=-I/home/vpopmail/include
修改-I/home/vpopmail/include指到真实的vpopmail/include目录
修改下面的这行
$(CC) $(FLAGS) -o $(BIN) $(OBJS) -L/home/vpopmail/lib -lvpopmail -lcrypt
修改 -L/home/vpopmail/lib 为真的vpopmail lib的目录
编译
make
安装
拷贝signup.cgi和signup.conf文件到cgi-bin目录下
切换目录到cgi-bin目录下
chown vpopmail signup.cgi
chgrp vchkpw signup.cgi
chmod ug+s signup.cgi
chmod ugo+r signup.conf
拷贝vqsignup_html目录到cgi-bin目录下,确信对所有用户可读
拷贝vqsignup.html文件到DocumentRoot目录下,确信能够被访问。编辑cgi-bin目录下的vqsignup.conf文件
修改"add_domain"的所有行,加上你的真实的域,把其他的行删除掉.更改vqsignup_text/*.html文件,使包含"result_*"的行的路径指到正确的全路经。
修改vqsignup_text目录下所有的文件,使它们只包含你想支持的域,你也可以定制这些页面,使它们更加好看些。
修改DocumentRoot目录下vqsignup.html文件,使它只包含你想支持的域,你也可以定制这个页面,使它更加好看些。
测试
用你的浏览器访问[url]http://your[/url] web server/your sub dir/vqsignup.htm, 试着注册新用户,如果成功的话,那么就恭喜你了。如果有错误,请返回安装步骤仔细查看文件的权限和vqsignup.html里的值是否正确。
2.4 其他参考资料
Adam McKenna所编写qmail-HOWTO
[url]http://www.flounder.net/qmail/qmail-howto.html[/url]
qmail FQA (內含于qmail 1.03 Source Code)
[url]http://www.qmail.org/[/url]
[url]http://www.linuxaid.com.cn/solution/[/url]上有几篇比较好的安装文档
[url]http://www.linuxforum.net/cgi-bin/perl/wwwthreads.pl[/url]上的qmail讨论也不错
2.5小结
Qmail配置工作虽然较Sendmail来说已经大大简化,但要想真正建立一个功能强大、运行稳定的邮件服务器,掌握其灵活的配置,认真阅读其How-to和FAQ还是极有必要的。关于Dot-forward、邮件列表等其他非常有用的方法和使用技巧,限于篇幅就不再介绍了,建议大家参考软件包中的有关文档。
中小企业服务器配置方案 第四章(3)
作 者: 汤海京
( E-mail:thjthj@263.net )
第四章 邮件服务器
第三节 三个重要的邮件系统相关协议
3.1 SMTP协议:
SMTP是工作在两种情况下:一是电子邮件从客户机传输到服务器;二是从某一个服务器传输到另一个服务器
SMTP是个请求/响应协议,命令和响应都是基于ASCII文本,并以CR和LF符结束。响应包括一个表示返回状态的三位数字代码
SMTP在TCP协议25号端口监听连接请求
连接和发送过程:
建立TCP连接
客户端发送HELO命令以标识发件人自己的身份,然后客户端发送MAIL命令服务器端正希望以OK作为响应,表明准备接收
客户端发送RCPT命令,以标识该电子邮件的计划接收人,可以有多个RCPT行服务器端则表示是否愿意为收件人接受邮件
协商结束,发送邮件,用命令DATA发送
以.表示结束输入内容一起发送出去
结束此次发送,用QUIT命令退出。
另外两个命令:
VRFY---用于验证给定的用户邮箱是否存在,以及接收关于该用户的详细信息。
EXPN---用于扩充邮件列表。
邮件路由过程:
SMTP服务器基于'域名服务DNS中计划收件人的域名来路由电子邮件。SMTP服务器基于DNS中的MX记录来路由电子邮件,MX记录注册了域名和相关的SMTP中继主机,属于该域的电子邮件都应向该主机发送。
若SMTP服务器mail.abc.com收到一封信要发到[email]shuser@sh.abc.com[/email]:
Sendmail请求DNS给出主机sh.abc.com的CNAME记录,如有,假若CNAME到shmail.abc.com,则再次请求shmail.abc.com的CNAME记录,直到没有为止
假定被CNAME到shmail.abc.com,然后sendmail请求@abc.com域的DNS给出shmail.abc.com的MX记录,
shmail MX 5 shmail.abc.com
10 shmail2.abc.com
Sendmail最后请求DNS给出shmail.abc.com的A记录,即IP地址,若返回值为1.2.3.4
Sendmail与1.2.3.4连接,传送这封给[email]shuser@sh.abc.com[/email]的信到1.2.3.4这台服务器的SMTP后台程序
SMTP基本命令集:
命令 描述
HELO 向服务器标识用户身份
发送者能欺骗,说谎,但一般情况下服务器都能检测到。
MAIL 初始化邮件传输
mail from:
RCPT 标识单个的邮件接收人;常在MAIL命令后面
可有多个rcpt to:
DATA 在单个或多个RCPT命令后,表示所有的邮件接收人已标识,并初始化数据传输,以.结束。
VRFY 用于验证指定的用户/邮箱是否存在;由于安全方面的原因,服务器常禁止此命令
EXPN 验证给定的邮箱列表是否存在,扩充邮箱列表,也常被禁用
HELP 查询服务器支持什么命令
NOOP 无操作,服务器应响应OK
QUIT 结束会话
RSET 重置会话,当前传输被取消
MAIL FROM命令中指定的地址是称作 envelope from地址,不需要和发送者自己的地址是一致的。
RCPT TO 与之等同,指明的接收者地址称为envelope to地址,而与实际的to:行是什么无关。
为什么没有RCPT CC和RCPT BCC:?
所有的接收者协商都通过RCPT TO命令来实现,如果是BCC,则协商发送后在对方接收时被删掉信封接收者
邮件被分为信封部分,信头部分和信体部分
envelope from, envelope to 与message from:, message to:完全不相干。
evnelope是由服务器主机间SMTP后台提供的,而message from/to是由用户提供的。有无冒号也是区别。
怎样由信封部分检查是否一封信是否是伪造的?
received行的关联性。
现在的SMTP邮件传输系统,在信封部分除了两端的内部主机处理的之外,考虑两个公司防火墙之间的部分,若两台防火墙机器分别为A和B,但接收者检查信封received:行时发现经过了C.则是伪造的。
received:行中的主机和IP地址对是否对应如:
Receibed: from galangal.org (turmeric.com [104.128.23.115] by mail .bieberdorf.edu....
被人手动添加在最后面的received行:
Received: from galangal.org ([104.128.23.115]) by mail .bieberdorf.edu (8.8.5)
Received: from lemongrass.org by galangal.org (8.7.3)
Received: from graprao.com by lemongrass.org (8.6.4)
3.2 POP3协议规范
简介
对于在网络上的比较小的结点,支持消息传输系统(mts)是不实际的。例如,一台工作站可能不具有充足的资源允许smtp服务器和相当的本地邮件传送系统保持序驻留,并持续运行。同样的,将一台个人计算机长时间连接在ip类型网络上的费用也是可观的(结点缺少的资源被称为"联络性")。虽然如此,在这样的小结点上允许管理邮件是十分有用的,并且这些结点经常支持一个用户代理来管理邮件。为解决这一问题,能够支持mts的结点就为这些不能支持的结点提供了邮件存储功能。邮局协议-版本3就是使这样的工作站可以用一种比较实用的方法来访问存储于服务器上的储存邮件。通常,这意味着工作站可以从服务器上取得邮件,而服务器为它暂时保存邮件。在下文中,客户主机指的是利用pop3服务的主机,而服务器主机指的是提供pop3服务的主机。
简单说明
在此文档中不指明客户主机如何将邮件送入到传送系统中去。但这里有一个说明:当用户代理需要将信息送到传送系统时,它在接力主机上建立smtp连接(这些接力主机可以是pop3主机,也可以不是)。
基本操作
初始时,服务器通过侦听tcp端口110开始pop3服务。当客户主机需要使用服务时,它将与服务器主机建立tcp连接。当连接建立后,pop3发送确认消息。客户和pop3服务器相互(分别)交换命令和响应,这一过程一直要持续到连接终止。 pop3命令由一个命令和一些参数组成。所有命令以一个crlf对结束。命令和参数由可打印的ascii字符组成,它们之间由空格间隔。命令一般是三到四个字母,每个参数却可达40个字符长。 pop3响应由一个状态码和一个可能跟有附加信息的命令组成。所有响应也是由crlf对结束。现在有两种状态码,"确定" ("+ok")和"失败" ("-err")。对于特定命令的响应是由许多字符组成的。在这些情况中,下面一一表述:在发送第一行响应和一个crlf之后,任何的附加信息行发送,他们也由crlf对结束。当所有信息发送结束时,发送最后一行,包括一个结束字符(十进制码46,也就是".")和一个crlf对。如果信息中的任何一行以结束字符开始,此行就是通过在那一行预先装入结束而进行字符填充的。因此,多行响应由五个crlf.crlf 结束。当检测多行响应时,客户检测以确认此行是否以结束字符开始。如果是的,而且其后的字符不是crlf,此行的第一个字符(结束字符)将被抛弃;如果其后紧跟crlf,从pop服务器来的响应终止,包括.crlf 的行也不被认为是多行响应的一部分了。在生命周期中,pop3会话有几个不同的状态。一旦tcp连接被打开,而且pop3服务器发送了确认信息,此过程就进入了"确认"状态。在此状态中,客户必须向pop3服务器确认自己是其的客户。一旦确认成功,服务器就获取与客户邮件相关的资源,此时这一过程进入了"操作"状态。在此状态中,客户提出服务,当客户发出quit命令时,此过程进入了"更新"状态。在此状态中,pop3服务器释放在"操作"状态中取得的资源,并发送消息,终止连接。 pop3服务器可以拥有一个自动退出登录的记时器。此记时器必须至少可以记录10分钟。这样从客户发送的消息才可能刷新此记时器。当记时器失效时, pop3会话并不进入"更新"状态,而是关闭tcp连接,而且不删除任何消息,不向客户发送任何响应。
"确认"状态
一时tcp连接由pop3客户打开,pop3服务器发送一个单行的确认。这个消息可以是由crlf结束的任何字符。例如,它可以是: s: +ok pop3 server ready 注意:这个消息是一个pop3应答。pop3服务器应该给出一个"确定"响应作为确认。此时pop3会话就进入了"确认"状态。此时,客户必须向服务器证明它的身份。在文档中介绍两种可能的处理机制,一种是user和pass命令,另一种是在后面要介绍的apop命令。用user和pass命令进行确认过程,客户必须首先发送user命令,如果pop3服务器以"确认"状态码响应,客户就可以发送pass命令以完成确认,或者发送quit命令终止pop3会话。如果pop3服务器返回"失败"状态码,客户可以再发送确认命令,或者发送quit命令。当客户发送了pass命令后,服务器根据user和pass命令的附加信息决定是否允许访问相应的存储邮件。一旦服务器通过这些数据决定允许客户访问储存邮件,服务器会在邮件上加上排它锁,以防止在进入"更新"状态前对邮件的改变。如果成功获得了排它锁,服务器返回一个"确认"状态码。会话进入"操作状态",同时没有任何邮件被标记为删除。如果邮件因为某种原因不能打开(例如,排它锁不能获得,客户不能访问相应的邮件或者邮件不能进行语法分析),服务器将返回"失败"状态码。在返回"失败"状态码后,服务器会关闭连接。如果服务器没有关闭连接,客户可以重新发送确认命令,重新开始,或者发送quit命令。在服务器打开邮件后,它为每个消息指定一个消息号,并以八进制表示每个消息的长度。第一个消息被指定为1,第二个消息被指定为2,以此类推,第n个消息被指定为n。在pop3命令和响应中,所以的消息号和长度以十进制表示。
下面是对上述三条命令的总结:
命令
格式
参数
限制
响应
user name
指定邮箱的字符串,这对服务器至关重要仅在user和pass命令失败后或在"确认"状态中使用
+ok:有效邮箱;
-err:无效邮箱
c: user mrose
s: +ok mrose is a real hoopy frood
...
c: user frated
s: -err sorry, no mailbox for frated here
pass string
口令仅在"确认"状态中user命令成功后使用(因为此命令只有一个参数,因此空格不再作为分隔符,而作为口令的一部分)
+ok:邮件锁住并已经准备好;
-err无效口令或无法锁住邮件
c: user mrose
s: +ok mrose is a real hoopy frood
c: pass secret
s: +ok mrose's maildrop has 2 messages (320 octets)
...
c: user mrose s: +ok mrose is a real hoopy frood
c: pass secret
s: -err maildrop already locked
quit
(无)
(无)
+ok
c: quit
s: +ok dewey pop3 server signing off
5. "操作"状态
一旦客户向服务器成功地确认了自己的身份,服务器将锁住并打开相应的邮件,这时pop3会话进入"操作"状态。现在客户可以重复下面的pop3命令,对于每个命令服务器都会返回应答。最后,客户发送quit命令,会话进入"更新"状态。 下面是在"操作"状态中可用的命令:
命令
参数
限制
说明
响应
stat
(无)
仅在"操作"状态下可用。
服务器以包括邮件信息的响应做为"确认"。为简化语法分析,所有的服务器要求使用邮件列表的特定格式。"确认"响应由一个空格,以八进制表示的邮件数目,一个空格和邮件大小。这是最小实现,高级的实现还需要别的信息。 注意:被标记为删除的信件不在此列。
+ok: nn mm
c: stat
s: +ok 2 320
list [msg]
信件数目(可选),如果出现,不包括标记为删除的信件。
仅在"操作"状态下可用。
如果给出了参数,且pop3服务器返回包括上述信息的"确认",此行称为信息的"扫描表"。如果没有参数,服务器返回"确认"响应,此响应便以多行给出。在初的+ok后,对于每个信件,服务器均给出相应的响应。为简化语法分析,所有服务器要求使用扫描表的特定格式。它包括空格,每个邮件的确切大小。这是最小实现,高级的实现还需要别的信息。注意:被标记为删除的信件不在此列。
+ok:其后跟扫描表;
-err:无扫描。
c: list
s: +ok 2 messages (320 octets)
s: 1 120
s: 2 200
s: .
...
c: list 2
s: +ok 2 200
...
c: list 3
s: -err no such message, only 2 messages in maildrop
retr msg
不包括标记为删除的信件数目。
仅在"操作"状态下可用。
如果服务器返回"确认",给出的响应是多行的。在初始的+ok后,服务器发送与给定信息号对应的信息,对于多行响应,注意字节填充终止符。
+ok:消息在其后;
-err:其后无消息。
c: retr 1
s: +ok 120 octets
s: the pop3 server sends the entire message here>
s: .
dele msg
不包括标记为删除的信件数目。
仅在"操作"状态下可用。
服务器将此信件标记为删除,以后任何关于此信件的操作就会产生错误。服务器在会话进入"更新"状态前不会真正删除此信件。
+ok:信件被删除;
-err:无此信件。
c: dele 1
s: +ok message 1 deleted
...
c: dele 2
s: -err message 2 already deleted
noop
(无)
仅在"操作"状态下可用。服务器仅返回"确认"。
+ok
c: noop
s: +ok
rset
(无)
仅在"操作"状态下可用。
所有被标记为删除的信件复位,服务器返回"确认"。
+ok
c: rset
s: +ok maildrop has 2 messages (320个字符)
6."更新"状态
当客户在"操作"状态下发送quit命令后,会话进入"更新"状态。(注意:如果客户在"确认"状态下发送quit后,会话并不进入"更新"状态。) 如果会话因为quit命令以外的原因中断,会话并不进入"更新"状态,也不从服务器中删除任何信件。
命令
参数
限制
说明
响应
quit
(无)
(无)
服务器删除所有标记为删除的信件,然后释放排它锁,并返回这些操作的状态码。最后tcp连接被中断。
+ok
c: quit
s: +ok dewey pop3 server signing off (清空标记邮件)
...
c: quit
s: +ok dewey pop3 server signing off
7.可选的pop3命令
以上讨论的命令是对pop3服务的最小实现。以下说明的可选命令允许客户更方便地处理信件,这是一个比较一般的pop3服务实现。
命令
参数
限制
说明
响应
top msg n
一个是未被标记为删除的信件数,另一个是非负数(必须提供)
仅在"操作"状态下使用。
如果服务器返回"确认",响应是多行的。在初始的+ok后,服务器发送信件头,一个空行将信件头和信件体分开,对于多行响应要注意字节填充终止符。 注意:如果客户要求的行数比信件体中的行数大,服务器会发送整个信件。
+ok:其后有信件头;
-err:其后无类似消息。
c: top 1 10
s: +ok
s: <服务器发送消息头,一个空行和信件的头10行>
s: .
...
c: top 100 3
s: -err no such message
uidl [msg]
信件数(可选)。
如果给出信件数,不包括被标记为删除的信件。
仅在"操作"状态下使用。
如果给出了参数,且pop3服务器返回包括上述信息的"确认",此行称为信息的"独立-id表"。如果没有参数,服务器返回"确认"响应,此响应便以多行给出。在初的+ok后,对于每个信件,服务器均给出相应的响应。此行叫做信件的"独立-id表"。为简化语法分析,所有服务器要求使用独立-id表的特定格式。它包括空格和信件的独立-id。信件的独立-id由0x21到0x7e字符组成,这个符号在给定的存储邮件中不会重复。 注意:信件不包括被标记为删除的信件。
+ok:其后是独立-id表;
-err:其后无类似信件。
c: uidl
s: +ok
s: 1 whqtswo00wbw418f9t5jxywz
s: 2 qhdpyr:00wbw1ph7x7
s: .
...
c: uidl 2
s: +ok 2 qhdpyr:00wbw1ph7x7
...
c: uidl 3
s: -err no such message, only 2 messages in maildrop
apop name digest
指定邮箱的字串和md5摘要串。
仅在pop3确认后的"确认"状态中使用。
通常,每个pop3会话均以user/pass互换开始。这导致了用户名和口令在网络上的显式传送,这不会造成什么危险。但是,许多客户经常连接到服务检查信件。通常间隔时间比较短,这就加大了泄密的可能性。 另 一种提供"确认"过程的方法是使用apop命令。实现apop命令的服务器包括一个标记确认的时间戳。例如:在unix上使用apop命令的语法为:process- id.clock@hostname,其中进程-id是进程的十进制的数,时钟是系统时钟的十进制表示,主机名与pop3服务器名一致。客户记录下此时间戳,然后以送apop命令。name语法和user命令一致。digest是采用md5算法产生的包括时间戳和共享密钥的字串。此密钥是客户和服务器共知的,应该注意保护此密钥,如果泄密,任何人都能够以用户身份进入服务器。如果服务器接到apop命令,它验证digest,如果正确,服务器返回"确认",进入"操作"状态;否则,给出"失败"并停留在"确认"状态。注意:共享密钥的长度增加,解读它的难度也相应增加,这个密钥应该是长字符串。
+ok:邮件锁住并准备好;
-err:拒绝请求。
s: +ok pop3 server ready &[email]lt1896.697170952@dbc.mtview.ca.us[/email]>
c: apop mrose c4c9334bac560ecc979e58001b3e22fb
s: +ok maildrop has 1 message (369 octets) 在此例子中,共享密钥 &[email]lt1896.697170952@dbc.mtview.ca.us[/email]>tanstaaf由md5算法生成,它产生了digest 值, c4c9334bac560ecc979e58001b3e22fb
8. pop3命令总结
基础的pop3命令:
user name 在"确认"状态有效
pass string
quit
stat 在"操作"状态有效
list [msg]
retr msg
dele msg
noop
rset
quit 在"更新"状态有效
可选的pop3命令:
apop name digest 在"确认"状态有效
top msg n 在"操作"状态有效
uidl [msg]
pop3 响应: +ok -err
注意:除了stat,list和uidl的响应外,其它命令的响应均为"+ok"和 "-err"。响应后的所有文本将被客户略去。
9. pop3会话实例
s: <等待连接到tcp端口110>
c: <打开连接>
s: +ok pop3 server ready &[email]lt1896.697170952@dbc.mtview.ca.us[/email]>
c: apop mrose c4c9334bac560ecc979e58001b3e22fb
s: +ok mrose's maildrop has 2 messages (320 octets)
c: stat
s: +ok 2 320
c: list
s: +ok 2 messages (320 octets)
s: 1 120
s: 2 200
s: .
c: retr 1
s: +ok 120 octets
s: <服务器发送信件1>
s: .
c: dele 1
s: +ok message 1 deleted
c: retr 2
s: +ok 200 octets
s: <服务器发送信件2>
s: .
c: dele 2
s: +ok message 2 deleted
c: quit
s: +ok dewey pop3 server signing off (maildrop empty)
c: <关闭连接>
s: <等待下一次连接>
3.3 IMAP4协议
21cn.com是目前国内众多免费电子邮件站点中率先提供IMAP4服务的系统,完整支持最新版本的IMAP4 rev1(RFC2060)协议。IMAP是Internet Message Access Protocol的缩写,顾名思义,主要提供的是通过Internet获取信息的一种协议。IMAP4是IMAP协议的第4个版本,正如POP3是POP 协议的第3个版本一样。在21cn.com邮件系统内,IMAP是一种强有力的邮箱访问方式。
和POP3的区别
由于很多用户都对POP3非常熟悉,我们就从POP3说起。POP3提供了快捷的邮件下载服务,用户可以利用POP3把邮箱里的信下载到PC上进行离线阅读。一旦邮件进入PC的本地硬盘,就可以选择把邮件从服务器上删除,然后脱离与Internet的连接并选择在任何时候阅读已经下载的邮件。
IMAP同样提供了方便的邮件下载服务,让用户能进行离线阅读,但IMAP能完成的却远远不只这些。首先,IMAP提供的摘要浏览功能可以让你在阅读完所有的邮件到达时间、主题、发件人、大小等信息后才作出是否下载的决定。也就是说,你不必等所有的邮件都下载完毕后才知道究竟邮件里都有些什么。如果你根据摘要信息就可以决定某些邮件对你毫无用处,你就可以直接在服务器上把这些邮件删除掉,而不必浪费你宝贵的上网时间。如果你的IMAP 客户端软件完整支持IMAP4rev1的话(如Netscape 4.5),则你还可以享受选择性下载附件的服务。举例来说,假如一封邮件里含有大大小小共5个附件,而其中只有2个附件是你需要的,你就可以只下载那两个附件,节省了下载其余3个的时间。
和WebMail的比较
也有很多用户喜欢通过Web来联机收发邮件,其中一个很重要的原因是这些用户希望把他的邮件都留在服务器上,并且通过WebMail服务建立多个文件夹,然后分类归档地管理自己的邮件。这样,WebMail的用户就可以不分时间地点,只要有一个浏览器就可以马上从服务器上获得自己的邮件,不管是刚收到的还是已经存放了很久,也不必担心客户端的PC重新安装了操作系统或换了一台电脑以后邮件全部丢失了的问题。
IMAP同样满足了WebMail用户的需要。IMAP与POP3不同的地方关键是在支持离线阅读的同时也鼓励用户把邮件存储和组织在服务器上。和WebMail一样,通过IMAP,允许用户在服务器上建立任意层次结构的文件夹,并且可以灵活地在文件夹之间移动邮件,随心所欲地组织你的邮箱(这些显然是通过POP3做不到的)。只要你的邮件存储在服务器上,任何时候通过一个IMAP的客户端软件都可以立即联机获得你的邮件,这一点与 WebMail保持一致。
但是,IMAP的以下优点足以把WebMail用户吸引过来:凡是WebMail的用户都必需无奈地阅读页面上的广告,都必需花费宝贵的时间和带宽来下载页面上的图面,修饰字符等等;IMAP则忠实地只为你的Email服务,不让你的资源有丝毫的浪费。
IMAP协议还允许你方便地利用你的邮箱作为信息存储工具,一般的IMAP4客户软件都支持邮件在本地文件夹间和服务器文件夹间的随意拖动,让你得心应手地把本地硬盘上的文件存放到服务器上,然后在你需要的时候同样方便地取回来,所有的功能仅需要一次鼠标拖放的操作来实现,是不是很好?
总的来说,POP3和WebMail的优点在IMAP里都有,而IMAP却能很好地克服POP3和WebMail各自的缺点。
中小企业服务器配置方案 第五章(1)
作 者: 汤海京
( E-mail:thjthj@263.net )
第五章 文件服务器
第一节 Samba服务器
1.1 简介
网络的宗旨是更容易地在计算机间共享信息, 在 Linux服务器和Windows 98的客户机之间实现打印共享和文件共享已经成为一个中小型企业必须解决的问题。
Samba 实际上是一组程序, 它们让你的Linux服务器机器懂得SMB (Server Messages Block)协议。SMB是一套通讯协议,让运行 OS/2,Windows NT,Windows 95,Windows for Workgroups的计算机实现文件共享和打印机共享服务。这套协议类似于NFS (网络文件系统)和lpd (Unix 标准打印服务器),及一套分布式授权认证系统(如 NIS 或 Kerberos)的组合。在运行 Samba 服务器程序的时候,你的 Linux 机器在"网络邻居"中看起来如同一台 Windows 机器。Windows 机器的用户可以"登录"到你的Linux服务器上, 当然这要求你给予适当的权限。
Samba 也能做一些一般来说需要 Windows NT 服务器去完成的工作,如作为一个 WINS服务器和处理来自Windows 95 机器的 "网络登录" 请求等等.
1.2 所需资源
1.2.1 所需包
RedHat6.2 服务器安装
1.2.2 所需配置文件
/etc/smb.conf
1.3 配置方案
/etc/smb.conf
说明:Samba主配置文件
源文件:
[global]
netbios name = weboaserver
#指定本机在网上邻居中的显示名
workgroup = weboa
#指定本机所属的工作组
server string = WebOA Server
#指定本机的备注
; hosts allow = 192.168.1. 192.168.2. 127.
#允许访问本机共享
printcap name = /etc/printcap
load printers = yes
printing = bsd
guest account = nobody
log file = /var/log/samba/log.%m
max log size = 50
security = share
;encrypt passwords = yes
;smb passwd file = /etc/smbpasswd
#指定定对用户口令校验的密码文件
#安全级别为用户级,这样定义是为了让每个98的客户端能自由使用它们在Linux服务器上的目录。
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
; interfaces = 192.168.12.2/24 192.168.13.2/24
dns proxy = no
[homes]
comment = WebOA's Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = yes
writable = no
printable = yes
[public]
comment = Public Stuff
path = /usr/public
browseable = yes
guest ok = yes
public = yes
writable = yes
#定义了共享目录,所有的用户对这个目录都有读写权限
[ WebOA Printer ]
comment = Fred's Printer
valid users = thj
path = /homes/thj
printer = WebOA_Printer
public = no
writable = no
printable = yes
#以上是定义打印机
管理员执行smbadduser tanghj:smithj来创建一个smb用户,相应地更改了/etc/smbpasswd 和 /etc/smbusers。
管理员需要执行 chmod 0777 /usr/public,修改/usr/public访问权限。
1.4 测试及管理办法
1.4.1 测试方法
1. 管理员可以通过执行/etc/rc.d/init.d/smb restart使更改的配置文件生效。
2. testparm 命令,解析和描述你的 smb.conf 文件的内容,特别有用,因为它提供了一个简易的方法发现配置上的错误。
1.5 小结
Linux是一个优秀的网络操作系统,它可与多种网络集成。Linux系统的稳定性、可靠性受到了广大用户的欢迎,在中小型网或者在公司、部门、单位等内部网(Intranet)上,常将Linux充当有效而强劲的文件和打印服务器,让windows客户机共享Linux系统中的文件。这种Linux与 windows网络集成是通过samba来实现。其实大家看了我关于Samba的介绍已经有了一个切身的感觉,就是Samba的配置选项太多了,但是要实现我们的目的只需要更改其中不多的部分就足以实现强大的文件、打印共享了。
中小企业服务器配置方案 第五章(2)
作 者: 汤海京
( E-mail:thjthj@263.net )
第五章 文件服务器
第二节 FTP服务器
2.1 简介
在绝大多数的LINUX发行版本中都选用的是WashingtonUniversity FTP,它是一个著名的FTP服务器软件,一般简称为wu-ftp。它功能强大,能够很好地运行于众多的UNIX操作系统,例如:IBM AIX、FreeBSD、HP-UX、NeXTstep、Dynix、SunOS、Solaris等。所以Internet上的FTP服务器,一大半以上采用了它。wu-ftp拥有许多强大的功能,很适于吞吐量较大的FTP服务器的管理要求:
可以在用户下载文件的同时对文件做自动的压缩或解压缩操作;
可以对不同网络上的机器做不同的存取限制;
可以记录文件上载和下载时间;
可以显示传输时的相关信息,方便用户及时了解目前的传输动态;
可以设置最大连接数,提高了效率,有效地控制了负载。
2.2 所需资源
1.2.1 所需包
RedHat6.2 服务器安装
1.2.2 所需配置文件
/etc/ftpusers
/etc/ftpaccess
/var/run/ftp.pids
/etc/ftpconversions
/var/log/xferlog
/etc/ftpgroups
/etc/ftphosts
1.2.3 相关命令
ftpd FTP服务器程序
ftpshut 用于关闭FTP服务器程序
ftpcount 显示目前在线人数
ftpwho 查看目前FTP服务器的连接情况
ckconfig 检查FTP服务器的设置是否正确
ftprestart 重新启动FTP服务
1.2.4 相关目录
/home/ftpd/bin 存放一些供FTP用户使用的可执行文件
/home/ftpd/etc 存放一些供FTP用户使用的配置文件
/home/ftpd/pub 存放供下载的信息
/home/ftpd/incoming 存放供上载信息的空间
2.3 配置方案
/etc/ftpaccess
说明: ftp权限配置文件
源文件:
guestuser weboa
# FTP用户
class all real,guest,anonymous *
class weboa guest *
# 格式:class [类名] [real/guest/anonymous] [IP地址]
功能:
这个指令的功能设定FTP服务器上用户的类别。并可对客户端的IP
地址进行限制,允许某部分的IP地址或全部的IP地址访问。而在FTP
服务器上的用户基本上可以分为以下三类:
real 在该FTP服务器有合法帐号的用户;
guest 有记录的匿名用户;
anonymous 权限最低的匿名用户
email [email]root@weboa.com.cn[/email]
loginfails 5
# 格式:loginfails [次数]
功能:设定当用户登录到FTP服务器时,允许用户输错密码的次数。
readme README* login
readme README* cwd=*
message /welcome.msg login
message .message cwd=*
# 格式:message [文件名称] [指令]
功能:当用户执行所指定的指令时,系统将指定的文件内容显示出来。
compress yes all
# 格式:compress [yes/no] [类别]
功能:设置哪一个类别的用户可以使用compress(压缩)功能。
tar yes all
# 格式:tar [yes/no] [类别]
功能:设置哪一个类别的用户可以使用tar(归档)功能。
chmod no guest,anonymous
# 格式:chmod [yes/no] [real/anonymous/guest]
功能:设置是否允许指定用户使用chmod命令更改文件权限。默认是允许。
delete yes all
# 格式:delete [yes/no] [real/anonymous/guest]
功能:设置是否允许指定用户使用delete命令删除文件。默认是允许。
overwrite yes guest
# 格式:overwrite [yes/no] [real/anonymous/guest]
功能:设置是否允许指定用户覆盖同名文件。默认是允许。
rename yes guest
# 格式:rename [yes/no] [real/anonymous/guest]
功能:设置是否允许指定用户使用rename命令来为文件改名。默认是允许。
log transfers anonymous,real inbound,outbound
# 格式:log transfers [real/guest/anonymous] [inbound/outbound]
功能:设置哪些用户的上载(inbound)和下载(outbound)操作做日志。
shutdown /etc/shutmsg
# 格式:shutdown [文件名]
功能:
FTP服务器关闭的时间可以设置在后面所指定的文件中,当设
置的时间一到,便无法登录FTP服务器了,要恢复的话只有将
这个文件删掉。而这个文件必 须由指令/bin/ftpshut来生成。
passwd-check rfc822 warn
# 格式:passwd-check [none/trivial/rfc822] [enforce/warn]
功能:设定对匿名用户anonymous的密码使用方式。
none 表示不做密码验证,任何密码都可以登录;
trival 表示只要输入的密码中含有字符"@"就可以登录;
rfc822 表示密码一定要符合RFC822中所规定的E-Mail格式才
能登录;
enfore 表示输入的密码不符合以上指定的格式就不让登录;
warn 表示密码不符合规定时只出现警告信息,仍然能够登录。
limit remote 32 Any /etc/ftpd/toomany.msg
# 格式:limit [类别] [人数] [时间] [文件名]
功能:这个指令的功能为设置指定的时间内指定的类别允许连接的
指定人数上限。当达到上限的时候,显示指定文件的内容。
upload /home/ftpd * no
upload /home/ftpd /pub yes anonymous 0644 dirs
# 格式:upload [根目录] [上载目录] [yes/no] [用户] [权限] [dirs/nodirs]
功能:对可以上载的目录进行更加详细的设置。
alias incoming /home/ftp/incoming
# 格式:alias [目录别名] [目录名]
功能:给指定目录设置一个别名,在切换目录时就可以使用较短的目录别名。
/etc/ftpusers
说明:FTP用户黑名单,为了安全考虑,需要禁止以下用户使用FTP
源文件:
root
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
2.4 小结
在众多的网络应用中,FTP(File Transfer porotocol)有着非常重要的地位。在Internet中一个十分重要的资源就是软件资源。而各种各样的软件资源大多数都是放在FTP服务器中的。可以说,FTP与WEB服务几乎占据了整个Internet应用的80%以上。
FTP服务可以根据服务对象的不同分为两类:一类是系统FTP服务器,它只允许系统上的合法用户使用;另一类是匿名FTP服务器,Anonymous FTP Server,它使用任何人都可以登录到FTP服务器上去获取文件。
如果你在安装LINUX系统的时候,在选择启动进程的时候选择了"ftpd"这一项的话,安装完LINUX系统后,它已经将一个默认的 FTP服务器安装到系统中去了。我们已经可以利用它来实现系统FTP服务器的功能了。我们只需在此基础上根据我们的需要进行一些个性化设定就可以了。
中小企业服务器配置方案 第五章(3)
作 者: 汤海京
( E-mail:thjthj@263.net )
第五章 文件服务器
第三节 NFS 服务器
3.1 简介
NFS 是网络文件系统(Network File System)的简称,是分布式计算系统的一个组成部分,实现在异种网络上共享和装配远程文件系统,从用户角度看来,在这些远程的文件系统操作和本地的文件系统上操作并没有什么不同。NFS由Sun 微系统公司(Sun Microsystem, Inc)开发,制订了NFS 标准,并被IETF接受,纳入RFC,作为文件服务的一种标准(RFC1904,RFC1813)。NFS基于客户/服务器结构,通过RPC(远过程调用)实现,所有的NFS操作都由RPC过程来进行。NFS 服务器导出本地的目录给远程的NFS客户,NFS客户把对文件操作系统调用重定向到远程的系统。在Linux里,通常用knfsd来实现NFS服务,这是个运行在核心空间的后台守护程序,相对与用户空间的NFS程序,有较高的响应性能。
3.2 所需资源
3.2.1 所需包
RedHat 6.2 服务器安装
3.2.2 所需配置文件
/etc/exports 系统自带,管理员配置
3.3 配置方案
1./etc/exports
说明:NFS主配置文件
源文件:
/home/weboa [url]www.weboa.com.cn[/url] (rw)
# 把/home/weboa 提供给[url]www.weboa.com.cn[/url]访问,权限是可读写
3.4 测试及管理办法
1. 修改完配置文件需要执行/etc/rc.d/init.d/nfs start生效
3.5小结
NFS(Network File System)是由Sun开发的用于网络上文件共享的协议.NFS使用起来很方便,所以得到了广泛的应用.但由于它的认证机制是基于IP地址的,因而容易被攻击.
注意NFS是基于rpc机制的,所以portmap服务一定要打开.
中小企业服务器配置方案 后记
作 者: 汤海京
( E-mail:thjthj@263.net )
后 记
以上内容是我和我们整个"满意办公企业版(WebOA)"项目组全体同仁近一年来实践经验的总结,希望对中小企业配网、管网有所帮助。
最后,再次感谢给我实践机会的联想电脑公司软件事业部,感谢我们的项目"满意办公企业版(WebOA)",感谢项目组同事:田日晖、曹宜、石京海、卢亮、王柏冬、刘宁、刘新滨、乐卫明。
如果大家在工作中有什么问题或者在对本书有什么意见和建议都请告诉我们:[email]thjthj@263.net[/email]。
希望我们共同努力,共创Linux的美好明天!!!
[url]http://www.lslnet.com[/url]
页:
[1]