Linux服务器配置.doc

打开VMware,选择“文件”-“打开”，指向到rlel4.2文件夹下，打开虚拟机启动虚拟机，进入Linux,使用root帐户，密码为：123456用ifconfig查看虚拟机的IP地址为：（所有实验就以为例）鉴于实验测试，需要将linux虚拟机与windows2000主机连通，具体步骤如下：1、 打开linux虚拟机，选择”vm”菜单-“settings”,在弹出的窗口中，单击”Ethernet”, 在”network connection”一栏中选择”Host-only”-OK2、 选择”edit”菜单-“virtual network settings”,点”summary”,查看Host-only所对应的virtual network的名称（如：VMnet1）和subnet的网段（如：）3、 右击win2000的”网络邻居”，右击VMnet1,将TCP/IP属性的IP地址改为，DNS：4、 进入linux系统后，修改IP为5、 重启网络服务；service network restart一、 DNS服务器的配置 1、DNS软件包的安装检查DNS软件包是否安装：rpm ql bind 2、DNS服务器配置 1）配置主配置文件，主配置文件为：/etc/named.conf 在include“/etc/rndc.key“；行前添加：zone““ IN type master； file“jay.zone“； allow-update none；zone“145.168.192.”IN type master； file“3.zone”； allow-update none； 2）编写正向解析文件：/var/named/chroot/var/named/jay.zone 文件名jay.zone要与主配置文件中的file“jay.zone“对应内容如下：$TTL 86400 IN SOA localhost. root.localhost.( 42 ； serial(d.adams) 3H ； refresh 15M ； retry 1W ； expiry 1D ) ； minimum IN NS .dns IN A www IN CNAME dns 3）编写正向解析文件：/var/named/chroot/var/named/3.zone 文件名3.zone要与主配置文件中的file“3.zone“对应内容如下：$TTL 86400 IN SOA localhost. root.localhost.( 1997022700 ； Serial 28800 ； Refresh 14400 ； Retry 3600000 ； Expire 86400 ) ； Minimum IN NS .3 IN PTR .3、修改DNS客户端配置文件/etc/resolv.conf添加：nameserver （为DNS服务器IP地址）4、启动DNS服务器：service named start5、测试DNS：nslookup或ping 效果如下： 二、 FTP服务器的配置1、 软件包的查询与安装查询：rpm ql vsftpd2、启动与测试service vsftpd startftp：/3、访问控制（基于IP）1）修改主配置文件/etc/vsftpd/vsftpd.conf为：tcp_wrappers=YES2）再修改/etc/hosts.allow和/etc/hosts.deny文件在hosts.allow中添加：vsftpd:(除了本机IP以外的任意IP)在hosts.deny中添加：vsftpd:all3）重启vsftpd服务:service vsftpd restart 此时，vsftpd服务器将禁止本机访问 4、禁止匿名访问1）修改主配置文件：/etc/vsftpd/vsftpd.conf默认允许：anonymous_enable=YES改为不允许：anonymous_enable=NO 2）重启vsftpd服务:service vsftpd restart 5、允许本地用户访问 1）修改主配置文件：/etc/vsftpd/vsftpd.conf默认允许：anonymous_enable=NO改为不允许：anonymous_enable=YES 2）重启vsftpd服务:service vsftpd restart 6、文件上传 （1）匿名上传 1) 修改主配置文件：/etc/vsftpd/vsftpd.conf write_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YES 2）建立专门用于匿名上传的文件夹 mkdir /var/ftp/income chown ftp:ftp /var/ftp/income 3）重启vsftpd服务:service vsftpd restart （2）有帐号用户上传 1）修改主配置文件：/etc/vsftpd/vsftpd.conf local_enable=YESwrite_enable=YES 2）重启vsftpd服务:service vsftpd restart 注：修改了/etc/vsftpd/vsftpd.conf主配置文件的重启vsftpd服务方可生效 7、限制访问目录（将指定用户限定在其家目录中）1）所有用户被限定在其家目录中chroot_local_user=YESchroot_list_enable=NO2）vsftpd.chroot_list文件中的用户被限定在其家目录中chroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list3）vsftpd.chroot_list文件中的用户不被限定在其家目录中chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list 8、限制用户访问 1）把不允许的访问帐号添加到/etc/vsftpd.user_list中 修改主配置文件：userlist_enable=YES 这样vsftpd.user_list中的用户不能访问而不在其中的就能访问 2）vsftpd.user_list中用户能访问而不在其中的则不能访问 修改主配置文件： userlist_enable=YES userlist_deny=no userlist_file=/etc/vsftpd.user_list 注：此时匿名也不能登录 9、为vsftpd服务器架设ssl支持 用FTP进行文件上传下载的时候，由于密码和内容都是明文传输，对于安全性要求较高的站点来说，是非常危险的。用SSL配合vsftpd就能构建一台安全的vsftpd服务器 （1） cd /usr/share/ssl/certs （2） openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem （3） vi /etc/vsftpd/vsftpd.conf 在最后添回以下内容 ssl_enable=YES allow_anon_ssl=NO rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem （4）service vsftpd restart （5）测试支持SSL的vsftpd 在与linux虚拟机相连的windows下用cuteftp进行测试，然后用ethereal抓包 三、 www服务器的配置1、 软件包的查询与安装查询：rpm ql httpd 2、启动与测试service httpd startvi /var/www/html/index.html输入：this is main page.或者 3、访问控制（基于主机）1）修改：/etc/httpd/conf/httpd.conf添加：AllowOverride AuthConfigOrder deny,allowAllow from Deny from all2）创建secure文件夹：mkdir /var/www/html/secure 此时，只允许访问secure文件夹而不允许本机访问 4、访问控制（基于用户名和密码）1） vi /var/www/html/secure/index.html输入：this page is restricted.9/secure 2） vi /var/www/html/secure/.htaccess输入：AuthName “restricted stuff”AuthType BasicAuthUserFile /etc/httpd/usersRequire user studentSatisfy any 3）修改：/etc/httpd/conf/httpd.conf添加：AllowOverride AuthConfig重启服务：service httpd restart，访问/secure,需要输入用户名和密码 3） 建立用户和密码：htpasswd c /etc/httpd/users student 修改文件属主：chown apache:apache /etc/httpd/users 5、访问控制（基于主机和用户） 结合3,4配置内容，将.htaccess文件中satisfy any 改为satisfy all即可。 6、虚拟主机（基于域名）1）dns配置：正向解析数据文件添加记录：vh1 IN CNAME dns2）修改/etc/httpd/conf/httpd.conf添加：NameVirtualHost ServerName DocumentRoot /var/www/html ServerAdmin DocumentRoot /var/www/html/vh1 ServerName ErrorLog logs/-error_log CustomLog logs/-access_log common 3）建立文件夹和默认页面：mkdir /var/www/html/vh1 vi /var/www/html/vh1/index.html 4）测试：/vh1四、DHCP服务器的配置1、软件包的查询与安装查询：rpm ql dhcp 如果提示没有安装，用下面的命令安装：cd /rootrpm ivh dhcp-3.0.1-12_EL.i386.rpm2、 DHCP服务器的配置主要通过/etc/dhcpd.conf文件进行。在缺省情况下，安装DHCP后该文件不存在，需要手工创建。可以从/usr/share/doc/dhcp-目录下将子文件dhcpd.conf.sample复制到/etc目录下，改名为dhcpd.conf,在该文件基础上改1） cp /usr/share/doc/dhcp-/dhcpd.conf.sample /etc/dhcpd.conf2） gedit dhcpd.conf &修改：subnet netmask option domain-name “” option domain-name-servers range dynamic-bootp 0 23、 测试DHCP服务将linux虚拟机与主机相连，然后将主机的“TCP/IP属性”设置为：自动获取IP五、 Samba服务器的配置Samba服务器实现linux与linux、windows之间的文件和打印机共享1、软件包的查询与安装查询：rpm ql samba2、Samba的四个安全级别（1）security=user Samba的默认设置，这种情况下要求用户在访问共享资源之前必须先提供用户名进行验证。 （2）security =share 几乎没有安全性的级别，任何用户都可以不要用户名和口令访问服务器上的资源。 （3）security=server 这个安全级别和user安全级类似，但用户名和密码递交到一个密码服务器去验证。（4）security=domain 这种安全级别要求网络上存在一台主域控制器，samba把用户名和密码递交给主域控制器去验证。 3、Samba主配置文件为：/etc/samba/smb.conf由于smb.conf文件内容比较复杂，所以在配置该文件之前创建一个备份，以便配置出错时进行还原：cp /etc/samba/smb.conf /root（1）配置share级服务器1）关闭防火墙：service iptables stop2）gedit /etc/samba/smb.conf &workgroup=linuxserver string=samba server log file=/var/log/samba/%m.logmax log size=50security=sharesocket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192homescomment=Home directoriesbrowseable=nowriteable=yesvalid users=%Screate mode=0644directory mode=0755 NewSharecomment=tmppath=/tmpbrowseable=yeswriteable=yesguest ok=yes 3）启动smb服务：service smb start4）在与linux虚拟机相连的win2000主机上进行测试，搜索计算机： （2）配置user级服务器 1）在实验一的基础上，修改/etc/samba/smb.confworkgroup=linuxserver string=samba server 1log file=/var/log/samba/%m.logmax log size=50security=usersocket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192encrypt passwords=yessmb passwd file=/etc/samba/smbpasswdhomescomment=Home directoriesbrowseable=nowriteable=yesvalid users=%Screate mode=0644directory mode=0755tmpcomment=tmppath=/tmpwriteable=yesguest ok=novalid users=user1 2）重启smb服务：service smb restart 3）建立系统帐号adduser user1 passwd user1 4）生成/etc/samba/smbpasswd口令文件cat /etc/passwd | mksmbpasswd.sh /etc/samba/smbpasswd 5）使用smbpasswd为user1设立samba server口令smbpasswd user1密码：user 6）在与linux虚拟机相连的windows主机上进行测试，搜索计算机：第一次登陆时会要求输入用户名和密码六、 iptables防火墙的配置 1、初始化：service iptables stop2、drop掉所有进入主机的数据包：iptables t filter P INPUT DROP3、将iptables与ftp、www、dns、ssl等服务进行结合设置 1）结合FTP服务器设置防火墙1） 修改FTP主配置文件（gedit /etc/vsftpd/vsftpd.conf）添加：pasv_enable=YES pasv_min_port=50000 pasv_max_port=600002） 重启vsftpd服务：service vsftpd restart3） 为FTP服务器添加防火墙规则iptables -A INPUT -m state -state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m state -state NEW -m tcp -dport 21 -j ACCEPTiptables -A INPUT -p tcp -m state -state NEW -m tcp -dport 20 -j ACCEPTiptables -A INPUT -p tcp -m state -state NEW -m tcp -dport 50000:60000 -j ACCEPT 2）向外部开放www、dns、ssl等服务iptables t filter A INPUT p tcp dport 80 j ACCEPTiptables t filter A INPUT p udp dport 53 j ACCEPTiptables t filter A INPUT p tcp dport 22 j ACCEPT 3）禁止所有主机ping本机 iptables A INPUT s 0/0 p icmp - icmp-type echo-request j DROP4、 iptables的规则查询、保存与恢复1） 查询：iptables L2） 保存规则：iptables-save iptables.rules3） 恢复规则：iptables-restore iptables.rules 七、 mail服务器的配置1、 软件包的查询与安装查询：rpm ql postfix rpm ql dovecot若提示没有安装，执行以下命令：cd /rootrpm ivh postfix-2.1.5-4.2.RHEL4.i386.rpm2、 配置postfix 1）向dns正向解析文件中添加MX记录 . IN MX 10 . . IN A 2） 修改主配置文件：/etc/postfix/main.cf69行左右： myhostname = 76行左右： mydomain = 108行左右：inet_interfaces = $myhostname, localhost154行左右：mydestination = $mydomain, $myhostname254行左右：mynetworks = /24启动postfix服务：service postfix start3、 配置dovecot 修改主配置文件：/etc/dovecot.conf第14行：protocols = imap imaps pop3 pop3s启动dovecot服务：service dovecot start4、 用windows下的outlook或者linux下的Evolution进行测试测试之前先关掉防火墙：service iptables stop八、 snort的安装与配置1、 所需的软件包 iptables-1.2.9rc1.tar.bz2libnet-1.0.2a.tar.gzpcre-7.1.tar.gzsnort-.tar.gzsnortrules-pr-2.4.tar.gz 保存在/root目录中 2、安装iptablescd /roottar xvjf iptables-1.2.9rc1.tar.bz2cd iptables-1.2.9rc1make install-devel3、安装libnetcd /roottar xvzf libnet-1.0.2a.tar.gz