B2D 基础.doc

本文目錄 一. B2D Linux 是什麼 二. B2D Server 安裝 (一). 若您有特殊的硬體，在開機歡迎畫面要下一些參數 (二). 一些主機的 BIOS 要調整 1. ASUS ap130e 2. 支援 SATA 硬碟的主機版請注意（無論是否安裝 SATA 硬碟） 3. 支援網路開機者請注意 4. 舊的顯示卡及螢幕要注意什麼 三. B2D Server 安裝完有什麼及其注意事項 (一). 安裝完有什麼 1. 防火牆設定 2. 各種預載的伺服器 3. X 視窗及一些應用程式 (二). 注意事項 1. 主機有無正式的 Domain Name 及主機名稱 2. 執行 b2d-setup 會有何影響 3. 若用新版的 B2D Server 升級舊的 B2D Server 要注意什麼 (三). 定時校時 四. B2D Server 初步認識 (一). 上網設定 1. 請那一台 DNS Server 來幫忙解析名稱，使主機能順利上網 /etc/resolv.conf 2. 手動設定網路 3. 如何得知網卡代號 註A： Search .tw 的意義 (二). B2D Linux 目錄結構 1. Linux 以directory來管理整台電腦 2.常用的資料夾名稱及其簡介 (三). B2D Linux 使用者管理及檔案權限設定 1. 新增使用者 2. 移除使用者 3. 更改使用者密碼 4. 檔案權限解釋 5. 檔案之使用者權限相關指令 (四). 使用者磁碟空間限制 Quota 設定 1. 簡介 2. 設定 (五). 在主機上建立共用資料夾，但使用者不會互刪別人的資料（採 SFTP 傳輸） 1. Server 端 2. Client 端 一. B2D Linux 是什麼B2D Linux 是由台南縣教育網路中心開發人員採用 Debian Linux 套件，新增/修改其部份功能與設定值，所推出的一套 Linux 作業系統。目前的主要開發人員有兩名。一是郭明松老師；另一是卓國興老師。郭主任主力放在 IceWM 桌面的 B2D Server 版，簡化各種伺服套件的安裝、修改編譯 B2D 專用的 Kernel 、加強資安防護等。卓老師則全力改造 KDE 及 GNOME 桌面，使 Linux 的使用能更人性化、更方便：不論是隨身碟的自動偵測、多媒體的支援、瀏覽器功能的加強、文書繪圖軟體的調教，皆是 B2D pure 版的修改重心。 B2D 官方網站：.tw B2D分支 B2D Server版 桌面： IceWM；OLS3 維護；適用於：架設網路伺服主機，安裝完，同時已架好十多種不同功能的伺服器 B2D Desktop 版 桌面： IceWMOLS3 維護；功能：輕量、快速的桌面系統 B2D pureKGB 桌面：KDE 與 GNOME卓國興老師維護；適合上網、文書繪圖、多媒體應用的作業系統 B2D 意義B2D 可以說是Back to Debian，當您安裝完畢時，除了開發人員所提供的便利工具外，其本身就是一套標準的 Debian Linux 套件 B2D 專案的理想如下： 小而美。 安裝容易 中文環境佳。 先採用 debian 套件(apt-get)，它日再發展成自己的套件庫。 彈性大，採用模組化架構，可任意拆裝變形加入創意。 多用途：桌面、工作站、伺服器、無碟電腦教室應用。 二. B2D Server 安裝請參考以下連結：.tw/b2d-doc/b2d-install/index.html(一). 若您有特殊的硬體，在開機歡迎畫面要下一些參數 IDE 、 SATA及 DELL 2650 不必下任何參數，直接按 Enter 開機 SCSI 硬碟：請下 b2d-scsi 再按 Enter 開機 (二). 一些主機的 BIOS 要調整1. ASUS ap130e不更動主機 S-ATA 排線(使用內建之 promise S-ATA 控制晶片)的情形下您可以： 1. 主機板 BIOS 調整 = 要看得到光碟機，並關閉 promise 之 RAID 功能(1). Advanced / IDE 項目IDE Configuration P-ATA & S-ATAIDE Channel Selection SecondaryS-ATA Running Enhanced Mode YesS-ATA ports Definition P0-4th, P1-3rd Configure S-ATA as RAID No註：若仍看不到內建光碟機，請調整 IDE Channel Selection 選項(2). Advanced / PCIPnP ConfigurationPromise RAID Disable 開機至 promise 的 BIOS 時，按 Ctrl+F 進入設定，啟用 array 。註：這裡若不啟用 array ， Promise 會以為你沒裝硬碟，就算你順利把 B2D Server 安裝進硬碟，也是沒用的。因為 pormise 不會以這顆硬碟開機。(1). 按 1 = Auto-Setup(2). Ctrl+Y 儲存(3). 按 Y = Create and Quick Initialize (建立ARRAY並快速格式化)(4). 按 Y = Continue(5). Press any key to Reboot(按任意鍵重新開機) 2. 支援 SATA 硬碟的主機版請注意（無論是否安裝 SATA 硬碟）請務必取消 SATA 的 RAID 功能，除此之外，應無其他注意事項。3. 支援網路開機者請注意請取消網路開機的選項或是將其優先順序調至硬碟之後，否則，就算您順利以光碟安裝完畢。重開機後，它卻一直在等【網路開機】。4. 舊的顯示卡及螢幕要注意什麼安裝至一半時，安裝程式會詢問：【解析度】大小。此時，只要顯示卡及螢幕，有一項是舊產品，請採用 1024 x 768 比較保險。否則，有可能：主機及顯示卡太新，預設的解析度太高，但螢幕無法支援而出現：【out of range】的現象。三. B2D Server 安裝完有什麼及其注意事項(一). 安裝完有什麼1. 防火牆設定B2D Linux 單機防火牆是採用 iptables 來達成，它的規則列寫在 /etc/init.d/rc.local ，所以，若有自己的特殊需求，直接修本檔案的內容即可。以下，節錄 rc.local 中有關 iptables 規則列之預設值：以下內容是以主機名: yht40；主機位址：98/24的設定值為例。在例子中：/24這值是主機依您的網路設定(/etc/network/interfaces)自動計算並寫入的。所以，如果您是家中由 ISP 公司所提供的 固 3 IP使用者，此處一定要修改。# 只有本主機所屬網段才能連到這台主機的 FTP server port 21$IPTABLES -A INPUT -p tcp -s /24 -dport 21 -j ACCEPT$IPTABLES -A INPUT -p tcp -s -dport 21 -j ACCEPT$IPTABLES -A INPUT -p tcp -dport 21 -j DROP# 只有本主機所屬網段才能連到這台主機的 Telnet server port 23$IPTABLES -A INPUT -p tcp -s /24 -dport 23 -j ACCEPT$IPTABLES -A INPUT -p tcp -s -dport 23 -j ACCEPT$IPTABLES -A INPUT -p tcp -dport 23 -j DROP# 只有本主機所屬網段才能連到這台主機的 ssh port 22$IPTABLES -A INPUT -p tcp -s /24 -dport 22 -j ACCEPT# 允許家中固定 IP 的主機(以 6為例) 可以透過 SSH/SFTP 連結本台主機$IPTABLES -A INPUT -p tcp -s 6 -dport 22 -j ACCEPT$IPTABLES -A INPUT -p tcp -s -dport 22 -j ACCEPT$IPTABLES -A INPUT -p tcp -dport 22 -j DROP# 只有本主機所屬網段才能連到這台主機的 Samba port tcp 139,445 / udp 137,138$IPTABLES -A INPUT -p tcp -s /24 -dport 139 -j ACCEPT$IPTABLES -A INPUT -p tcp -s /24 -dport 445 -j ACCEPT$IPTABLES -A INPUT -p udp -s /24 -dport 137 -j ACCEPT$IPTABLES -A INPUT -p udp -s /24 -dport 138 -j ACCEPT$IPTABLES -A INPUT -p tcp -s -dport 139 -j ACCEPT$IPTABLES -A INPUT -p tcp -s -dport 445 -j ACCEPT$IPTABLES -A INPUT -p udp -s -dport 137 -j ACCEPT$IPTABLES -A INPUT -p udp -s -dport 138 -j ACCEPT$IPTABLES -A INPUT -p tcp -dport 139 -j DROP$IPTABLES -A INPUT -p tcp -dport 445 -j DROP$IPTABLES -A INPUT -p udp -dport 137 -j DROP$IPTABLES -A INPUT -p udp -dport 138 -j DROP# 因為有些 Hacker/Cracker 會利用 IPv6 的漏洞攻擊主機，所以封閉幾個重要的 PORT/sbin/ip6tables -F/sbin/ip6tables -A INPUT -p tcp -dport 21 -j DROP/sbin/ip6tables -A INPUT -p tcp -dport 22 -j DROP/sbin/ip6tables -A INPUT -p tcp -dport 23 -j DROP/sbin/ip6tables -A INPUT -p tcp -dport 139 -j DROP/sbin/ip6tables -A INPUT -p tcp -dport 445 -j DROP/sbin/ip6tables -A INPUT -p udp -dport 137 -j DROP/sbin/ip6tables -A INPUT -p udp -dport 138 -j DROP2. 各種預載的伺服器 DNS伺服器 - OLS3 DNS 自動產生器 郵件服務 - Postfix+SASL2 (SMTP 認證立即可用)、POP3Postfix 安裝完，因台南縣的 DNS 設定值Domain Name = dns.Domain Name，所以請修改 /etc/postfix/main.cf啟用本行設定：# mydestination = $myhostname, $mydomain 去 # 號關閉本行設定：mydestination = $myhostnam 加 # 號 Openwebmail (2.51-4 B2D 版, 已修正 自動回覆無法使用的問題)http:/ServerName/openwebmail/ Apache2 + PHP4 Apache1.3.x + PHP4 XOOPS 架站 帳號： admin密碼：b2d-setup 設定的統一密碼 Xoops http:/ServerName/xoops/ /var/www/xoops Xoops 2.2.3 http:/ServerName/xoops2/ /var/www/xoops2 X 學務系統請至 Xoops 的模組區安裝。 phpBB2 討論區 帳號： admin密碼：b2d-setup 設定的統一密碼 http:/ServerName/phpbb/ /usr/share/phpbb2/site/在 /etc/apache2/conf.d/ra-phpbb2 有做連線範圍的限制 BLog (LifeType) 瀏覽：http:/ServerName/lifetype/ 管理：http:/ServerName/lifetype/admin.php帳號： admin密碼： b2d-setup 設定的統一密碼 FTP - vsftpd、開主目錄、切換匿名登入 Telnet伺服器 SSH2在 /etc/init.d/rc.local 中，以 iptables 做 port 22 的連線限制 Samba NFS DHCP SQL - MySQL(具重設root密碼工具,開啟port3306工具) phpMyAdmin在 /etc/apache2/conf.d/ra-phpmyadmin 有做連線範圍的限制 VNC Server、viewer Rsync 備份 CVS 架設 IRC 聊天室 3. X 視窗及一些應用程式B2D Server 安裝畢，已經預載 IceWM 視窗管理器加 dfm 桌面管理系統，並且有一些視窗應用程式如：網頁瀏覽器、網頁編輯器(BlueFish)、各種伺服器視窗化設定工具、主機系統/桌面設定工具、文書 (OOo2)、繪圖(dia)、影像處理程式(Gimp2)、XCIN中文輸入法及中文終端機(rxvt, gnome-terminal.)等。當然，若有一些東西用不順手，也可以自由加裝慣用的工具，如 gcin 輸入法、Quanta或Nvu 網頁編輯器等。(二). 注意事項1. 主機有無正式的 Domain Name 及主機名稱有正式的主機名稱意謂：得到 DNS Server 合法授權或直接指定名稱。亦即，有正式的網址。若有網址，一切伺服器的設定，均以b2d-setup這個指令。如果，你的電腦是 ADSL 撥接式或固定 IP，沒有網址，要設定各種伺服器以 IP 上網服務，請改用b2d-adsl這個指令來幫忙設定。一開始，他一定會偵測您的 ADSL ，以固定 IP 的使用者，自然會偵測失敗，不必理會。最後，本程式會啟用 B2D Server 設定。如下圖所示：2. 執行 b2d-setup 會有何影響 更改以下服務的管理密碼 MySQL phpMyAdmin phpBB2 XOOPS VNC Server Ntop Lifetype (plog) 重設 rc.local 若你有自定的 iptables 規則列，記得先備份，否則會消失 若本台要擔任 DNS 伺服器嗎打勾 /etc/bind/ 的正反解設定檔會被重寫，亦即，手動加上的台南縣郵件過濾設定，必須重新設定 3. 若用新版的 B2D Server 升級舊的 B2D Server 要注意什麼用新版的 B2D Server 升級舊的 B2D Server ，大多數的應用軟體都不會有問題。只是有幾點要注意： /etc/init.d/rc.local 會被重寫 /etc/bind/ 底下之DNS Server正反解設定會被重寫 Xoops 自已手動下載加裝的模組可能會有問題。 /etc/postfix/main.cf 會被重寫 會被保留的有： /home 底下的所有 user /var/www 底下的網頁 /var/lib/mysql 底下的資料庫 (三). 定時校時伺服器的校時是很重要的，時間不對，可能會影響到更新與其他的服務。雖然我們可以用網路校時 ntpdate 指令來校時，但如果可以把它設成自動化，會更為實用。以下是筆者的建議：設定排程 crontab -e# m h dom mon dow command# 每天 04 時 05 分校時一次5 4 * * * /usr/sbin/ntpdate .tw 四. B2D Server 初步認識(一). 上網設定1. 請那一台 DNS Server 來幫忙解析名稱，使主機能順利上網 /etc/resolv.conf編輯： /etc/resolv.conf指令：【 vi /etc/resolv.conf】# 優先搜尋的 Domain Name (註A)search .tw# 第一優先：請自己學校的 DNS Server 做名稱解析的服務nameserver 29# 第二優先：請台南縣網的 DNS Server 做名稱解析的服務nameserver # 第三優先：請 Hinet 的 DNS Server 做名稱解析的服務nameserver 2. 手動設定網路編輯： /etc/network/interfaces指令：【 vi /etc/network/interfaces 】# 開機時，自動啟用 localhost 及 eth1 這兩個網路設定auto lo eth1 # 開機啟用： localhost iface lo inet loopback # 使 eth0 這個網卡自動取得 IP iface eth0 inet dhcp # 使 eth1 使用固定 IPiface eth1 inet static #網址address 29#遮罩netmask 28#網段代表號network 28#廣播broadcast 55#路由器位置gateway 543. 如何得知網卡代號使用指令： dmesg 列出開機訊息，裡頭可能會有網卡及 eth 的關鍵字。如果找不到，可查詢另一個檔案 /proc/net/dev，這個檔會記錄所有已成功驅動的網卡代號 (eth0, eth1.) ，但無法得知這個代號是來自那一張網卡。註A： Search .tw 的意義當使用者只輸入主機名時，電腦優先幫你加上在 /etc/resolv.conf 內設定的 search Domain Name。我們以 nslookup 指令舉例如下：rootyht40:# nslookup yh (查詢 這台主機的網址, 注意, 我們沒給 Domain Name)Server: Address: #53# 依 /etc/resolv.conf 內 search 值的設定, 電腦在 yh 後自動加上 .twName: .tw Address: 99(二). B2D Linux 目錄結構1. Linux 以directory來管理整台電腦 週邊設備 /dev/hda1/dev/hda2. 從週邊設備掛進來的的磁區 /mnt/hda1/mnt/hda2/media/cdrom (配合 udv, hal, 會mount 至 /media下) 各資料夾： 通通都是directory 而根目錄( root directory )就好像是書本的目錄，要找什麼資料，先要到書本的目錄，循序往下找。Linux 的根目錄：你可以把想像成 Windows 的C：。2.常用的資料夾名稱及其簡介 /boot 放置開機啟動會用到的各個檔案 /home 主機上所有使用者的家目錄 /bin (或 sbin) Linux 系統的各式各樣的執行檔 /etc 各軟體套件的偏好設定 /lib/modules Kernel Modules (各類週邊設備的驅動程式) /usr 雜項 /usr/bin (及sbin) 各軟體套件的執行檔 /usr/lib 各式函式庫 /usr/lib/cgi-bin 網頁伺服器 Apache Server 之 cgi-bin 實體位置 /usr/local 自己手動編譯安裝的軟體放置處 /usr/share 每個使用者的共用資源 /usr/share/themes 各種佈景主題 /usr/share/icons 各種小圖示(佈景主題使用) /usr/share/doc 各軟體套件的說明文件 /var 記錄檔、伺服器的資料存放區 /var/log 各式各樣的記錄檔 /var/lib/mysql MySQL Server資料庫的位置 /var/lib/amavis/virusmails 垃圾郵件備份位置 /var/www Apache Server 存取網頁位置 /var/samba SAMBA Server 分享網路芳鄰資料的位置 /var/mail/ 各使用者的郵件暫存區 /dev 所有的週邊設備：如滑鼠、鍵盤. (三). B2D Linux 使用者管理及檔案權限設定1. 新增使用者 rootdns# adduser帳號名 46次 Enter 外加一個Y新增的過程，系統會把使用者樣版環境( /etc/skel )原封不動複製到home/newuser底下。所以，若您要使新使用者在建立之初就有那些資料夾或檔案可用，可以在 /etc/skel 底下預先建好。例如：要使每個 user 在建立之初便已有個人網頁資料夾 /home/newuser/public_html，那麼，直接以 root 身份先在 /etc/skel 底下建 public_html 資料夾，之後，只要下 adduser ，就可以套用到所有新增的使用者。在 Linux 底下，同一台電腦可以建立多個使用者。數個使用者，可組成一個 Group (很少這樣使用了)。每個獨立的使用者皆可擁有： 自己的桌面調校 自己的郵件(如果有架郵件伺服器) 自己的網頁空間(如果有架網頁伺服器) 使用者一旦新增成功，至少會改以下幾個地方： /etc/passwd 記錄使用者的基本資料 /etc/shadow 記錄使用者的密碼 /etc/group 使用者群組 /home/使用者名稱/ 使用者家目錄 註：使用者帳號，不可以使用大寫 2. 移除使用者userdel 帳號名 (只移除該帳號使用權)userdel -r 帳號名 (連同家目錄也一併移除)3. 更改使用者密碼passwd 帳號名 ( root 去修改某位使用者的密碼)passwd (不加帳號名, 修改自己的密碼, 必須輸入舊密碼)4. 檔案權限解釋我們在某一資料夾下 ls -l 指令(列出該資料夾底所有檔案的詳細資料)例：drwxr-sr-x 2 root staff 4096 2004-12-19 17:10 Desktopdrwxr-xr-x 5 root root 4096 2004-09-30 01:57 GNUstepdrwxr-xr-x 2 root root 4096 2004-09-30 01:57 tmp我們發現，最左側有drwxr-xr-x的英文字 d 目錄 r 讀取權 w 寫入權 x 執行權(也就所謂的執行檔或批次檔) 如果出現代表該位置這個功能沒了 例：drwxr-sr-x 2 root staff 4096 2004-12-19 17:10 Desktop 這資料夾，是root這個人的，歸屬staff這個群組，而： root 這個人可以讀取寫入執行 與staff同群組的使用者只可以讀取執行 其他人可以讀取執行 由以上的例子，我們知這樣三次的 rwx 代表： 第一次 本檔案擁有者可以做什麼事 第二次 與本檔案擁有者同群組的人可以做什麼事 第三次 其他人可以做什麼事 5. 檔案之使用者權限相關指令chmod 改變這個檔案的權限，也就是誰可以讀取寫入執行該檔案例一：chmod 777 /tmp解釋：全部的人皆可以任意存取tmp這個資料夾。那為何是 777 呢 ?那是因為 第一組 r(4) + w(2) + x(1) = 7 ，第二組及第三組比照辨理，共有三個【】。例二： chmod 755 /var/lib/mysql/xoops解釋： 把 /var/lib/mysql/xoops 資料夾的權限改為：本人： rwx、Group：r-x、其他人：r-x讀取 r(4) + 可執行 x(1) = 5小提示：如果你的資料夾裡有放執行檔 (r-x or rwx)，那麼，資料夾本身也必須是 r-x 才可以(不可唯讀 r-)，否則該執行檔會權限不足。chown 改變這個檔案的擁有者例一：chown knoppix.knoppix tmp解釋：把tmp這個資料夾的擁有人，改給knoppix人及knoppix群組例二：chown -R mysql.mysql /var/lib/mysql/解釋：把/var/lib/mysql底下所有資料夾及檔案(含所有子目錄底下)的 ownver 及 group 皆改為【mysql】 (四). 使用者磁碟空間限制 Quota 設定1. 簡介使用者磁碟空間限制，也就是使用者最多只能用到多大的量。若超過：ftp 會拒絕上傳、openwebmail 會拒絕登入。要設定它，必須要從磁區掛載(修改 fstab)、核心模組(quota_v2)、 quota 編輯及開機啟動 quota 等四方面一步步著手，才算是完整的啟用本功能。文件參考： 鳥哥的家：/linux_b