Ubuntu服务器使用指南

Ubuntu服务器使用指南

团欢迎阅读Ubuntu服务器指南！

Ubuntu服务器指南包含了在您的Ubuntu系统中如何安装与配置满足您需要

的不一致服务器的有关信息。它是一个循序渐进、面向任务的配置与定制您系统

的指南。本手册讨论的主题如卜所不：

-网络配置

■Apache2的配置

-数据库

■Windows联网

本手册要紧分为下列几块：

-安装

•包管理

■联网

■Windows联网

本指南假定您已经对您的Ubuntu系统有个基本的熟悉。假如您需要安装

Ubuntu的全面帮助，将参考Ubuntu安装指南。

本手册的HTML与PDF版本能够在在线获得。

您能够在上购买到本指南的纸质品，只需支付打印与邮寄费用。

[]安装

本章提供了安装Ubuntu6.06LTSServerEdition（服务器版）的快速入门。

更多细节说明，请参见Ubuntu安装指南。

[]准备安装

准备安装，本部分内容说明在开始安装之前要考虑的各个方面。

[]系统要求

Ubuntu6.06LTSServerEdition（服务器版）支持三种要紧的体系架构：Intel

x86、AMD64与PowerPC0下表列出了被推荐硬件明细表。您能够根据需要使用

比这更少的（硬件）进行管理。然而，大多数用户不应当忽略这些建议，否则风

险自负。表最小建议配置2-1

安装类型RAM硬盘空间

月薪器64MB500MB

Ubuntu6.06LTSServerEdition（服务器版）的默认自述文档已经在下面列

出了。当然，安装的尺寸大小极大程序上取决于您在安装过程中安装服务的多少。

关于大多数管理员来说，默认的服务关于服务器通常的使用已经足够了。

服务器

这是一个小型服务器服务列表，它为各类服务器应用程序提供了一个通用基础。

它是最低限度的并被设计成能够在其上添加想要的服务，如文件/打印服务、web

主机、邮件主机等。要满足这些服务至少需要500MB的磁盘空间，但考虑添加

更多的空间是要取决于在您服务器上您想要提供的服务。

记住这些尺寸并不包含其他的素材如用户文件、邮件、日志与数据。当为您自己

的文件与数据考虑空间时最好能留足。

[]备份

・在您开始之前，请确保备份了您现在系统上的每个

文件。假如第一次时己经有一个操作系统安装在您的

计算机上，那么最合适的办法就是把您的磁盘重新分

区，为Ubuntu留出空间。不管哪次对您的磁盘进行

分区您都应该做好丢失磁盘上所有东西的准备，由于

您可能会误操作或者者在分区过程中出错，如系统掉

电等。在安装中所使用的程序是相当可靠的，大多

数已经用了几年，但它们执行的也是破坏性的操作，

一个操作出错可能会那您有价值的数据丢失掉。

假如您是想把电脑做成多重引导的系统，请先确定您手头上有电脑里已经存在的

这些操作系统的安装介质。特别是当您把启动盘重新分区以彳灸，您可能会发现务

必重新安装原有操作系统的启动引导程序，某些情况下，还得重新安装该操作系

统并恢复受影响分区上的文件。

[]从CD安装

将您的安装CD插入您的CD-ROM设备并重启计算机。当从CD-ROM重启时安

装系统将立即开始。一旦初始化之彳及，您的第一个安装屏幕将出现。

如今，阅读屏幕上的文字。您也许想看看安装程序提供的帮助屏。假如您想这么

做的话，请按F1键。

要执行缺省的服务器安装程序，选择“安装到硬盘”并按回车键。安装过程

将开始。简单地根据屏幕上的指示，您的Ubuntu系统将被安装。

或者者，您要安装一个LAMP服务器(Linux,Apache,MySQL,

PHP/Perl/Python),选择“安装LAMP服务器”，并根据指示进行安装。

[]包管理

Ubuntu提供一套全面的包管理系统用于软件的安装、升级、配置与卸载。除了

让您Ubuntu计算机能够访问组织好的超过17,000个软件包的软件库之外，包

管理工具还能够解决依靠关系并提供软件更新检查。

一些工具能够与Ubuntu包管理系统进行交互，从便于系统管理员做自动化处理

的简单命令行工具到便于Ubuntu新手使用的简单图形界面。

[]介绍

Ubuntu的包管理系统是从DebianGNC/Linux发行版中而生出来的。包文件

包含在您Ubuntu系统中实现特定功能或者软件所必需的文件、元数据与指令。

Debian包文件通常用'.deb'作彳叁缀，而且位于建立在不一致介质上由包陶成

的软件库中，这些介质包含CD-ROM光盘与网站。包通常是预编译的二进制形

式，因此安装速度快而且软件也无需编译。

许多复杂的包使用依靠包这一概念，依靠包是主包为实现完整功能而要求的附

加包。比如，语音合成包Festival依靠festvox-kalpcl6k包，该依靠包提供

被应用程序使用的众多声音之一。为了能使Festival正常运行，所有依靠包都

务必与Festival主包同时安装。Ubuntu软件管理工具将会自动完成这一切。

[]Apt-Get

apt-get命令是一个强大的命令行工具，用于同Ubuntu的Advanced

PackagingTool(APT)一起执行诸如安装新软件包、升级已有软件包、更新包

列表索引，甚至是升级整个Ubuntu系统等功能。

作为一个简单的命令行工具，apt-get关于服务器管理员来说比Ubuntu中的其

他软件包管理工具有着相当多的优点。这些优点包含便于在简单终端连接(SSH)

中使用，同时能够用于系统管理脚本中，以便能被cron动作计划工具自动运行。

apt-get工具的一些常见用法示例：

关于APT用法的更多信息，可阅读全面的或者输入：

apt-gethelp

[]Aptitude

Aptitude是一个菜单驱动，基于文本的AdvancedPackagingTool(APT)系统

前端。包管理的许多常用功能，如安装，卸载与升级，能够在Aptitude中单键

执行命令，它通常是小写字母。

Aptitude最适用于非图形的终端环境，确保命令关键字的适当功能。您能够作

为一个普遍用户在终端提示符彳受用下列命令开始运行Aptitude：

sudoaptitude

当Aptitude开始之彳爱，你将看在屏幕顶部的一个菜单条，其下有两个窗，顶窗

包含包的类别，如新软件包与未安装软件包。底窗包含包与包类别的有关信

息。

使用Aptitude作包管理相对直观，用户界面便于执行常用任务。下面是在

Aptitude中进行包管理经常见用法如下：

-安装软件包：要安装包，通过未安装软件包包类别

找到该软件包，如通过键盘箭头键与ENTER键定位

并高亮你想安装的软件包。在高亮你要安装的软件包

之彳爰，将其标示为安装。现在按g键显示软件包的

操作提示。再按g键，您将被提示要成为root用

户以完成安装。按ENTER键将显示Password:提

示。输入您的用户密码成为root用户。最彳爰，再一

次按g键，您将被提示下载软件包。在Continue提

示上按ENTER键，开始下载与安装软件包。

•卸载软件包：要卸载软件包，通过已安装软件包包

类别找到该软件包，如通过键盘箭头键与ENTER键

定位并高亮你想卸载的软件包。在高亮你要卸载的软

件包之彳爰，按一键，文件包条目将变成pink,标示

其为卸载。现在按g键显示软件包的操作提示。再

按g键，您将被提示要成为root用户以完成卸载。

按ENTER键将显示Password:提示。愉入您的用户

密码成为root用户。最彳菱，再一次按g键，您将

被提示下载软件包。在Continue提示上按ENTER

键，开始卸载软件包。

■更新软件包索引：要更新软件包索引，简单按u您

将被提示要成为root用户以完成更新。按ENTER

键将显示Password:提示，输入您的用户密码成为

root用户。开始更新软件包索引，当出现下载对话

框时在0K提示上按ENTER键以结束更新过程。

■升级软件包：要升级软件包，如上所述更新软件包

索引，然彳发按U键标示所有能升级的软件包。现在

按g键显示软件包的操作提示。再按g键，您将被

提示要成为root用户以完成安装。按ENTER键将

显示Password:提示。输入您的用户密码成为root

用户。最彳灸，再一次按g键，您将被提示下载软件

包。在Continue提示上按ENTER键，开始升级软

件包。

当实际查看软件时列出软件包当前状态，在顶窗软件包列表中显示信息的第列

使用下列关键字来描述软件包状态：

■i：安装软件包

•c:软件包没有安装，但在系统中有软件包的残留配

置

・p:从系统完全删除

■v:虚拟软件包

-B:已损坏的软件包

■u:解压文件，但尚未配置软件包

-C:半配置-配置失败需要修复

-H:半安装-卸载失败需要修复

要退出Aptitude,只需简单按q键并确认您想退出即可。在Aptitude菜单中

按F10键能够列出其他许多功能。

[]配置

AdvancedPackaging%ol(APT)系统软件库的配置被储存在

/etc/apt/sources.list文件中。这儿有个该文件的示例，

[file:///usr/share/ubuntu-docs/ubuntu/serverguide/sample/sources.list

这里]是一个典型的/etc/apt/sources.list文件范例。

您能够编辑该文件来使软件库生效或者失效。举个例子，要不想不管何时在发生

文件包操作都会引起要求插入UbuntuCD-ROM,只需要简单地将在文件顶部的

CD-ROM相应行注释掉即可：

#nomorepromptingforCD-ROMplease

#debcdrom:[Ubuntu6.06_DapperDrake_-Releasei386(20060329.1)]/

dappermainrestricted

[]其他软件库

除了能够使用官方支持的Ubuntu软件包库之外，还存在拥有几千个潜在软件包

的由其它社区保护的软件库。这些软件库中最流行的两个是Universe与

Multiverse软件库。这些软件库并不被Ubuntu官方支持，这就是它们为叶么

在缺省时不能的原因，但它们提供的包通常是能够在您的Ubuntu计算机上安全

使用的。

在Multiverse软件库中的包通常有许可证的问题，这使得它们不能与自由操作

系统一起分发，它们在您所在的地区可能是违法的。

建议不要在Universe或者Multiverse软件库中包含官方支持的软件包。特别

是在升级这些包时可能会不安全。

许多其他软件包源也是可用的，有的时候甚至只提供一个软件包，这种情况要紧

发生在由单个应用程序的开发人员所提供软件包源上。然而当您在使用非标准软

件包源时您应该非常小心慎重，在执行任何安装之前认真考查源与软件包，由

于有些软件包源与其中的软件包可能会使您的系统在某些方面运行不稳固或者

不正常。

要使Universe与Multiverse库可用，编辑/etc/apt/sources.list文件并将

去掉有关行的注释：

[]3.5.1.引用

[]联网

网络是由两个或者两个以上的设备通过物理线缆或者无线连接而成并在连接设

备之间共享与分发信息。这些设备包含计算机系统、打印机或者用有线或者无线

连接起来的其它有关设备。

Ubuntu服务器指南的这部分提供与联网有关的通常与特定信息，包含网络概念

的简介与对常用网络协议及服务器应用程序的全面讨论。

[]网络配置

Ubuntu提供了许多图形化工具来配制您的网络设备。本文适用于服务器管理员

并聚焦在命令行中管理您的网络。

[]以太网4.1.1.

大多数以太网配置都集中在单个文件/etc/network/interfaces中。假如您没

有以太网设备，那么在该文件中将只出现环回口，该文件看上去类似这样：

#Thisfiledescribesthenetworkinterfacesavailableonyoursystem

#andhowtoactivatethem.Formoreinfornation,seeinterfaces（5）.

#Theloopbacknetworkinterface

autolo

ifaceloinetloopback

address127.0.0.1

netmask255.0.0.0

假如您只有一个以太网设备ethO,被配置成从DHCP服务器得到设置，同时在

引导时自动激活，那么只需要再添加两行：

autoethO*J

ifaceethOinetdhcp

第一行说明ethO将会在您启动时自动激活。第二行说明该接口（“iface"）

ethO将有得到一个IPv4地址空间（假如是一个IPv6的设备将须将

“inet”用“inet6”代替）同时它将自动从DHCP中自动获得它的配置。假

定您的网络与DHCP服务都已经被正确配置，该机的网络将不需要更多的配置。

DHCP服务器将提供默认网关（通过route命令来实现）、设备的IP地址（通

过ifconfig命令来实现）与网络使用的DNS服务器（在/etc/resolv.conf

文件中实现）。

要把您的以太网设备配置成静态1P地址与自定义配置的话，则要求更多的信

息。假设您想指定IP地址给设备ethl,其掩码是

。您的默认网关的IP地址是192.168.0.k您能够在

/etc/network/interfaces中输入类似下面的语句：

ifaceethlinetstatic

address192.168.0.2

netmask255.255.255.0

gateway192.168.0.1

在这个例子中，您将需要在/etc/resolv.conf中手工指定您的DNS服务器，看

起来如下：

配置更多的接口是可能的，包含拨号的PPP接口、IPv6网络、VPN设备等。更

多信息与支持选项请参考man5interfaceso记住ifup/ifdown脚本使用的

/etc/network/interfaces是比其他一些Linux发行版更高级的配置模式。传

统的低级工具如ifconfig、route与dhclient也为了adhoc配置对您夹说

也是可用的。

[]管理DNS记录4.1.2.

本部分说明如何配置用来将IP地址解析成主机名或者相反功能的名称服务，而

不是说如何将整个系统配置成一个名称服务器。

要管理DNS条目，您能够在/etc/resolv.conf文件中添加、编辑或者删除DNS

名称服务器。一个范例文件在下面给出：

searchcom

nameserver204.11.126.131

nameserver64.125.134.133

nameserver64.125.134.132

nameserver208.185.179.218

nameserver关键字指定名称服务器的IP地址，它将被用来解析IP地址或者

主机名。该文件能够有多个名称服务器记录。名称服务器将按相同顺序进行网络

查询。

假如DNS服务器名称是通过DHCP或者PPP0E动态取回的（从您ISP取回），

那么不要在该文件中添加名称服务器记录。它将被自动更新。

[]管理主机4.1.3.

要管理主机，您能够在/etc/hosts文件中添加、编辑或者删除主机。该文件包

含IP地址与相对应的主机名。当您的系统要解析一个主机到IP地址或者从一

个IP地址获取主机名时;它将在使用名称服务器之前参考/etc/hosts文件。

假如该IP地址已经在/etc/hosts文件中被列出，那么将不再使用名称服务

器。这一动作能够通过编辑/etc/nsswitch.conf来改变，只是彳麦果自负。

假如您网络所包含计算机的IP地址没有在DNS中列出，建议您将它们加入到

/etc/hosts文件中。

[]TCP/IP

传输操纵协议与网际协议（TCP/IP）是在20世纪70年代被美国国防部高级研

究规划局（DARPA）作为在不一致类型计算机及计算机网络之间的通信手段而被

开发的一个标准协议簇。TCP/IP是Internet的驱动力，因此它是全球最流行

的网络协议簇。

[]TCP/IP介绍4.2.1.

TCP/IP的两个协议组件处理计算机网络的不一致方面。网际协议，TCP/IP中的

〃IP〃是一个连接协议，只处理使用IP数据报作为网络信息基本单元的网络包

路由。IP数据报由报头与其彳爰的消息构成。传输操纵协议是TCP/IP中的

〃TCP〃，能够使网络主机之间建立用于交换数据流的连接。TCP也保证连接之间

的数据传送与其在网络主机上的接收顺序与其从另一台网络主机上的发送顺序

一致。

[]TCP/IP配置4.2.2.

TCP/IP协议配置由务必设置的几个元素构成，能够通过编辑相应的配置文件或

者配置方案如动态主机配置协议（DIICP）来设置，它能够配置成提供适当的

TCP/IP配置来自动设置网络客户机。这些配置值务必正确设置，以便于您的

Ubuntu系统进行相应网络操作。

TCP/IP常用配置元素及其作用如下所示：

•IP地址IP地址是唯一标识字符串，它由四部分由

点号分隔的，范围从0到255的十进制数构成。每

部分由8个比特表示，整个地址总长为32个比特。

这种格式被称之dottedquadnotation。

-掩码子网掩码（或者简称掩码）是一个局部位掩

码，或者用指定的子网掩码来将IP地址中的网络

分隔出来的一组标识。举个例子，在C类网络中，

标准的掩码是255.255.255.0屏蔽了IP地址的前

三个字节，并同意IP地址的最彳及一个字节指定子网

中的主机。

-网络地址网络地址表示包含IP地址网络部分的

字节。比如,一个A类网络的主机12.128.L2将

使用12.0.0.0作为网络地址，使用12来表示IP

地址的第一个字节（网络部分），馀下的三个为0

的字节表示可能的主机值的。网络主机使用象

192.168.1.100这样非常普遍的不可路由的私有IP

地址将使用网络地址,用前二个字节

来指定C类192.168.1网络，而用一个0来表示

网络上所有可能的主机。

•广播地址广播地址是一个同意向给定子网中的所有

主机而不是一台特定的网络主机同时发送网络数据

的IP地址。通常标准IP网络的地址是

255.255.255.255,但这个广播地址不能用来为

Internet网上的每台主机发送一个广播消息，由于

路由器会阻止它。更适当的广播地址设置是匹配特定

子网的。比如，在流行的私有C类IP网

192.168.1.0中,广播地址应该设为

192.168.1.255o广播消息通常都是由网络协议产生

的，如地址识别协议(ARP)与路由信息协议(RIP)o

■网关地址网关地址是一个通过该地址可能会到达指

定网络或者网络主机的IP地址。假如一台网络主机

希望与另一台网络主机通讯，而该机并不在同一网络

中，而是要传输到另一个网络或者主机上，如

Internet主机。网关地址设置务必正确，否则您的

系统将不能到达不在同一网络中的任何主机。

-名称服务器地址名祢服务器地址表示域名服务

(DNS)系统的IP地址。该系统将网络主机名解析成

IP地址。能够按顺序来指定三个不一致优先级的名

称服务器地址：主名称服务落，次名称服务器，与

第三名称服务器。按顺序为您系统将网络主机名解

析成相应的IP地址，你务必指定合法的名称服务器

地址，该地址应该在您系统的TCP/IP配置中被授权

使用。在许多情况下这些地址能够也应该被您的网络

服务供应商提供，但也能够使用许多免费的、可供公

众访问的名称服务器,如IP从4.2.2.1到

4.2.2.6的Level3(Verizon)服务器。

IP地址、掩码、网络地址、广播地址与网关地址通常都是在文件

/etc/nctwork/intcrfaccs中通过相应的语句来指定的。名称服务器地址通常是

在文件/etc/resolv.conf中通过nameserver语句来指定的。更多详情,请分

别查阅interfaces或者resolv.conf的系统手册页。

查阅interfaces系统手册页，可用下列命令：

maninterfaces

查阅resolv.conf系统手册页，用下列命令：

manresolv.conf

[]IP路由4.2.3.

IP路由是在TCP/IP网络上为可能发送的网络数据指明或者发现路径。路由使

用一组路由表来指示网络数据包从源地址转发到目的地，经常是通过许多叫做路

由器的网络节点做中转。IP路由是Internet上路径发现的要紧方式。IP路由

分为两种形式：静态路由与动态路由。

静态路由包含向系统路由表中手工添加的TP路由，通常是通过route命令来

向路由表手工添加的。静态路由与动态路由相比有许多优点，如在小网络中实施

简单，有可预测性（路由表总是事先算好，因此路由在每次使用时都相当一致），

在其它路由器与网络链路处理卜比动态路由协议开销小°然而，静态路由也有一

些缺点。如静态路由只限于小网络而且不能很好地进行调整。静态路由由于路

由固定的特性，因此根本无法根据路由来习惯网络中断与故障。

动态路由有赖于从一个源到目的有多条可用IP路由的大型网络，利用特定的路

由协议，如路由信息协议（RIP）,能够自动调整路由表以生成可能的动态路由。

动态路由相对静态路由有几个优点，如拥有较大的伸缩性与能根据网络路由来习

惯网络中断与故障。另外，几乎无须手工配置路由表，由于路由器能够相互学

到其他已有同时可用的路由器。这一特性也消除了由于人为错误而在路由表中引

入错误的可能。然而，动态路由也并不完美，其表现出来的缺点如相当复杂与

由于路由器通讯所带来的额外的网络开销，并不能使最终用户由此获益，并却一

直消耗着网络带宽。

[]TCP与UDP4.2.4.

TCP是一个基于连接的协议，提供纠错并通过流量操纵来传输数据。流量操纵

决定什么时间一个数据流需要停止，比如在出现诸如冲突等问题时重发先前发

送的数据包，以确保完整与准确的数据传输。TCP常用于重要信息的交换，如数

据库传输.

另一方面，用户数据报协议（UDP）是一个无连接协议，很少用于重要数据的

传输，由于缺乏流量操纵或者其他一些确保可靠数据传输的方法。UDP常用在如

音视频流这样的应用程序，由于它缺少纠错与流控，因此相关于TCP来说更快,

而且丢失少量包通常也不可能造成灾难性的彳麦果。

[]ICMP4.2.5.

Internet操纵消息协议是在RequestForComments（RFC）#792中定义的，是

对网际协议（IP）的一个扩充。支持的网络包包含操纵、错误与信息的消息"CMP

常被用在诸如推断一台网络主机或者设备可用性的ping工具这样的网络应用

程序。在网络主机与设备如路由器之间使用ICMP所返回的错误消息示例包含

DestinationUnreachable与TimeExceededo

[]守护程序4.2.6.

[]防火墙配置

Linux内核包含Netfilter子系统，用来处理或者决定网络传输头部进入或者

穿过你的服务器，目前所有的Linux防火墙都用该系统来做包过滤。

[]防火墙介绍4.3.1.

内核的包过滤系统假如没有一个用户态(userspace)界面来管理它的话对管理

员来说几乎没有用。这正是iptables的目的。当一个包到达您的服务器，它从

用户态(userspace)通过iptables传给Netfilter子系统，然彳爰基于提供的

规则去同意、操作或者拒绝。因此，假如你能熟悉它的话，那幺iptables就是

您管理您防火墙所需的全部。

[]IP伪装4.3.2.

IP伪装的目的是为了同意您网络上那些有着私有的、不可路由的IP地址的机

器能够通过做伪装的机器访问Tnlemel。来自您私有网络并要访问Internet

的传输务必是能够操作的，也就是说回复要能够被路由回来以送到发出请求的机

器上。要做到这一点，内核务必修改每个包源T地址以便回复能被路由回它

这里，而不是发出请求的私有IP地址，由于它们关于Internet来说是不存在

的。Linux使用ConnectionTracking(conntrack)来保持那个连接是属于哪

个机器的，并相应地对每个返回包重新做路由。发自您私有网络的流量就这样被

伪装成源于您的网关机器。这一过程在Microsoft文档中被称之Internet连

接共享。

这能够用单条iptables规则来完成，也许基于您网络配置来说会有一些小的差

异：

sudoiptables-tnat-APOSTROUTING-s192.168.0.0/16-opppO-j

MASQUERADE

上述命令假设您的私有地址空间是192.168.00/16,您与Internet相连的设

备是pppOo语法分解如下所示：

■"tnat—该规则将进入nat表

--APOSTROUTING—该规则将被追加(-A)到

POSTROUTING链

--s192.168.0.0/16~该规则将被应用在源自指定

地址空间的流量上

--opppO-该规则应用于计划通过指定网络设备的

流量。

--jMASQUERADE—匹配该规则的流量将如上所述”

跳转〃(-j)到MASQUERADE(伪装)目标。

在过滤表（缺省表，在那里有着大多数或者全部包过滤指令）中的每条链

（chain）都有一个默认的ACCEPT策略，但假如您还在网关设备上设置防火墙，

那么您也许还要设置DROP或者REJECT策略，这时您被伪装过的流量还需要被

FORWARD链（chain）中的规则同意才能正常工作：

sudoiptables-AFORWARD-s192.168.0.0/16-opppO-jACCEPT

sudoiptables-AFORWARD-d192.168.0.0/16-mstate-state

ESTABLISHED,RELATED-ipppO-jACCEPT

上述命令将同意通过从您局域网到Internet的所有连接，这些连接所有的有关

流量也都返回到发起它们的机器。

[]工具4.3.3.

有很多工具能够帮助您构建一个完整的防火墙，而不需要iptables的专业知

识。偏好图形界面的,Firestarter非常流行也易于使用，fwbuilder则非常强

大而且其界面关于用过诸如CheckpointFireWallT商业防火墙工具的管理员

来说相当熟悉。假如您偏好有着纯文本配置文档的命令行工具，ShorcwaH是个

非常强大的解决方案，能够帮您为任何网络配置一个高级防火墙。假如您的网络

相对简单，或者假如您没有网络，那幺ipkungfu将给您一个无需配置就能够工

作的防火墙，也同意您通过编辑简单友好的配置文件来轻松设置更高级的防火

墙。另一个感兴趣的工具就是fireflier,被设计成桌面防火墙应用程序。它

由一个服务滞（fireflier-server）与可选的GUI客户端（GTK或者QT）构

成，操作就象Windows中许多流行的交互式防火墙应用程序一样。

[]日志4.3.4.

防火墙日志要紧是为了确认攻击、找出并解决您防火墙规则的问题与注意您网络

中不正常的活动。您务必在您防火墙中包含这些日志规则以便生成相应日志，

尽管，日志规则务必优先于任何可应用的最终规则（那些决定其目的包命运的规

则，如ACCEPT、DROP或者REJECT）。

一个从本机发起的对80端口的请求将会在dmesg中生成一条日志，如下所示:

上面的日志也会出现在/var/log/messages、/var/log/syslog与

/var/log/kern.log中。这一过程能够通过适当编辑/etc/syslog.conf或者安

装配置ulogd并用ULOG代替LOG来进行改变。ulogd守护程序是一种用户态

服务器能够监听来自内核的防火墙口志指令，同时能够将其写到任何您希望的文

件中，甚至是PostgreSQL或者MySQL数据库。使用诸如fwanalogsfwlogwatch

或者lire日志分析工具将会很轻松地弄懂您的防火墙日志。

[]OpenSSH服务器

[]介绍4.4.1.

Ubuntu服务器指南的这部分内容介绍一个强大的远程操纵网络计算机与在它们

之间传输数据的工具集OpenSSHo您也能够学到一些OpenSSH服务器应用程序

的配置与如何在您Ubuntu系统修改它们。

OpenSSH是SecureShell(SSH)协议工具集中的一个自由可用的版本,用以远

程操纵一台计算机或者在计算机之间传输文件。完成这些功能的传统工具，如

telnet或者rep等，是不安全的，它们在使用时用明文来传输用户的密码。

OpenSSH提供一个服务器守护程序与客户端工具来保障安全、加密的远程操纵与

文件传输操作，以有效地取代传统的T具。

OpenSSH服务器组组件sshd持续监听来自任何客户端工具的连接请求。当一个

连接请求发生时，sshd根据客户端连接的类型来设置当前连接。比如，假如远

程计算机是通过ssh客户端应用程序来连接的话，OpenSSH服务器将在认证之

彳及设置一个远程操纵会话。假如一个远程用户通过sep来连接OpenSSH服务

器，OpenSSH服务器将在认证之彳叁开始服务器与客户机之间的安全文件拷贝。

OpenSSH能够支持多种认证模式，包含纯密码、公钥与Kerberos票据。

[]安装4.4.2.

OpenSSH客户端及服务器应用程序的安装是简单的。要在您Ubuntu系统中安装

OpenSSH客户端应用程序，能够在终端提示符彳爰使用下列命令：

sudoapt-getinstallopenssh-client

要安装OpenSSH服务器应用程序及有关的支持文件，能够在终端提示符彳爰使用

下列命令：

sudoapt-getinstallopenssh-server

[]配置4.4.3.

您能够通过编辑/etc/ssh/sshd_config文件来配置OpenSSH服务器应用程序

的缺省过程。关于该文件中使用的配置语句信息，您能够在终端提示符彳为运行下

列命令来查阅相应的手册页：

mansshd_config

在sshd配置文件中有许多语句来操纵那些诸如通信设置与认证模式。下面是一

个通过编辑/etc/ssh/ssh_config文件来改变配置语句的例子。

在编辑配置文件之前，您应该生成一个原始文件的拷贝并对其写保护，以便您能

够参考原始文件并在必要时重用它。

拷贝/etc/ssh/sshd_config文件并对其写保护能够通过在终端提示符彳及运行

下列命令：

sudocp/etc/ssh/sshd_config/etc/ssh/sshd_config.original

sudochmoda-w/etc/ssh/sshdconfig,original

下列是您可能更换配置语句的范例:

-要设置您OpenSSH在TCP2222端口而不是缺省的

TCP20端口监听，能够如下使用改变Port语句：

Port2222

•要让sshd同意基于公钥登录证书，能够简单添加或

者修改该行语句：

PubkeyAuthenticationyes到/etc/ssh/sshdconfig文件中。假如已经存在,

确保该行语句没有被注释。

■要使您的OpenSSH服务器显示/etc/issue.net文

件的内容以作为预登录Banner,只需简单地将下行

添加或者修改：

Banner/etc/issue.net到/etc/ssh/sshdconfig文件中即可。

在修改/etc/ssh/sshd_config文件之彳发，储存该文件并重启sshd服务器应用

程序以使之生效。能够和终端提示符彳及使用下列命令：

sudo/etc/init.d/sshrestart

许多其他的sshd配置语句能够使服务器应用程序按您的要求运行。然而，给您

一个忠告，假如您访问服务器的唯一方法就是使用ssh,而且您在通过

/etc/ssh/sshd_config文件来配置sshd时犯了一个错误，那么在重启该服务

之彳爰您可能会娶现您被锁在服务器外面了，或者者是sshd服务在处理一个不正

确的配置语句时拒绝启用。因此当在远程服务器上编辑该文件时要格外的小心。

[]引用4.4.4.

[]FTP服务器

文件传输协议（FTP）是一个TCP协议，用于在计算机之间上传与下载文件。FTP

工作在客户端/服务器模式下。服务器组件被称之FTP守护程序。它持续不断地

临听来自远程客户端的FTP请求。当一个请求到达时，它管理登录与建立连接。

在整个会话期间它执行FTP客户端发送来的任何命令。

能够通过两种方式来管理FTP服务器的访问：

•匿名

•授权

在匿名模式中，远程客户端能够使用“anonymous"或者〃ftp〃缺省用户帐号并

通过发送一个邮件地址做为密码来访问FTP服务器。在授权模式下一个用户务

必拥有帐号与密码。用户所访问FTP服务器中目录与文件的权限是根据登录时

所用帐号来定义的。通常来说，FTP守护程序将隐臧在FTP服务器的根目录中

并将其改到FTP家目录。这样就能够向远程传话隐藏文件系统的其他部分。

[]vsftpd-FTP服务器安装4.5.1.

vsftpd是可在Ubuntu中使用的FTP守护程序之一。它在安装、设置与保护方

面十分方便。要安装vsftpd您能够使用下列命令：

sudoapt-getinstallvsftpd

[]vsftpd-FTP服务器配置4.5.2.

你能够编辑vsftpd配置文件，/etc/vsftpd.corf,来配置缺省设置。缺省状态

下只同意匿名FTP。假如您希望禁用该选项，您能够将下面这行：

anonymousenable=YES

改为

anonymous_enab1e=N0

•缺省状态下，本地系统用户是不同意登录FTP服务器的。要改变该设置,

您能够将下面这行反注释：

#local_enable=YES

•缺省状态下，同意用户从FTP下载文件，但不同意他们上传文件到FTP

服务器。为了能够上传文件到FTP服务器，需要改变该设置，您能够将

下面这行反注释掉：

#anon_upload_enab1e=YES

•配置文件包含许多配置参数。关于配置文件中的每个参数的信息都能够得

至“，或者者您能够参考手册页，man5vsftpd.conf说明每个参数的细节。

一旦您配置好了vsftpd您就能够运行该守护程序了。您能够执行下列命令来运

行vsftpd守护进程：

sudo/etc/init.d/vsftpdstart

请注意在配置文件中缺省的设置要紧是出于安全考虑。上面每一个改变都会使系

统的安全性更小，因此请只在您需要时才改变他们。

[]网络文件系统（NFS）

NFS同意系统将其目录与文件共享给网络上的其他系统。通过NFS,用户与应用

程序能够访问远程系统上的文件，就象它们是本地文件一样。

NFS最值得注意的优点有：

-本地工作站能够使用更少的磁盘空间，由于常用数据

能够被储存在一台机器上，并让网络上的其他机瑞能

够访问它。

・不需要为用户在每台网络机器上放一个用户目录。用

户目录能够在NFS服务器上设置并使其在整个网络

上可用。

■存储设备如软盘、光驱及USB设备能够被网络上其

它机器使用。这可能能够减少网络上移动设备的数

量。

[]安装4.6.1.

在终端提示符彳灸键入下列命令安装NFS服务器：

sudoapt-getinstallnfs-kernel-server

[]配置4.6.2.

您能够配置要输出的目录，您能够在/etc/exports文件中添加该目录。比如:

/ubuntu*(ro,sync,no_root_squash)

/home*(rw,sync,norootsquash)

您能够用主机名来代替尽量指定主机名以便使那些不想其访问的系统访问

NFS挂载的资源。

您能够在终端提示符彳及运行下列命令来启动NFS服务器：

sudo/etc/init.d/nfs-kernel-scrvcrstart

[]NFS客户端配置4.6.3.

使用mount命令来挂载其他机器共享的NFS目录。能够在终端提示符彳及输入下

列类似的命令：

挂载点/local/ubuntu目录务必已经存在。而且在/local/ubuntu目录中没有

文件或者子目录。

另一个挂载其他机器的NFS共享的方式就是在/etc/fstab文件中添加一行。

该行务必指明NFS服务器的主机名、服务器输出的目录名与挂载NFS共享的本

机目录。

下列是在/etc/fstab中的常用语法：

[]引用4.6.4.

[]动态主机配置协议(DHCP)

动态主机配置协议(DHCP)是一种网络服务，相关于手工为每台网络主机配置，

它使网络主机可能自动被服务器指定设置。被配置成DHCP客户端的计算机并不

能操纵其从DHCP服务器得到的设置，且该配置关于计算机用户来说是透明的。

由DHCP服务器提供给DHCP客户端最常用的设置包含：

-TP地址与掩码

-DNS

-WINS

然而，一个DHCP服务器也支持配置如下属性，如:

■主机名

■域名

-默认网关

■时间服务器

-打印服务器

使用DHCP的好处在于当网络发生改变如DNS服务器地址改变时，只需要在

DHCP服务器中改变即可，所有网络主机将在其DHCP客户端下一次轮询DHCP

服务器时被重新配置.。另一个好处就是，它在将新计算机整合到网络时也更容易，

由于不需要再检查IP地址的有效性。同时也减少TP地址的冲突。

一个DHCP服务器能够用两个模式来提供配置设置

•MAC地址

该模式需要用DHCP去标明连接到网上的每块网卡唯一的硬件地址，然彳为在

DHCP客户端每次使用该网络设备发送给DHCP服务器请求时提供给它一个固定

的配置。

•地址池

该模式需要定义一个：P地址池（有的时候也叫范围或者作用域），以便DHCP

客户端能够被动态提供它们的配置fromwhichDHCPclientsaresupplied

theirconfigurationpropertiesdynamicallyandonafistcomefirstserve

basiso当一个DHCP客户端有段时间不再在网络上时，该配置将过期并释放回

地址池以便为其他DHCP客户端使用。

ubuntu提供DHCP服务器及其客户端。服务器叫dhcpd（动态主机配置协议守

护程序）。Ubuntu提供的客户端叫dhclient,应该安装在所有自动配置的计算

机上。这两个程序很容易安装与配置，并可在系统引导时自动启用。

[]安装4.7.1.

要安装dhcpd,能够在终端提示符彳受输入下列命令：

sudoapt-getinstalldhcpd

您将看到下面的输出，说明接下来做什么：

PleasenotethatifyouareinstallingtheDHCPserverforthefirst

timeyouneedtoconfigure.Pleasestop（/etc/init.d/dhcp

stop）theDHCPserverdaemon,edit/etc/dhcpd.conftosuityourneeds

andparticularconfiguration,andrestarttheDHCPserverdaemon

(/etc/init.d/dhcpstart).

Youalsoneedtoedit/etc/default/dhcptospecifytheinterfacesdhcpd

shouldlistento.BydefaultitlistenstoethO.

NOTE:dhcpd，smessagesarebeingsenttosyslog.Looktherefor

diagnosticsmessages.

StartingDHCPserver:dhcpdfailedtostart-checksyslogfor

diagnostics.

[]配置4.7.2.

安装结束彳发的错误消息可能会带来小小的困惑，只是下面几步将帮助您配置服

务：通常，您想做的是随机指定一个IP地址。这能够通过下列设置来实现：

#Sample/etc/dhcpd.conf

#(addyourcommentshere)

default-1ease-time600;

max-lease-time7200:

optionsubnet-mask255.255.255.0;

optionbroadcast-address55;

optionrouters192.168.1.254;

optiondomain-name-servers192.168.1.1,192.168.1.2;

optiondomain-name“”;

subnet192.168.1.0netmask255.255.255.0{

range192.168.1.10192.168.1.100;

range192.168.1.150192.168.1.200;

)

这将导致DHCP服务器从192.168.1.10-192.168.1.100或者

192.168.1.150-192.168.1.200范围中分配客户端一个IP地址。假如客户端没

有要求一个特定的时间帧的话它将租用600秒的IP地址。否则最大(同意)

租用时间为7200秒。服务器也〃建议〃客户端使用255.255.255.0做为它的

子网掩码，192.168.1.255作为它的广播地址，：92.168.1.254作为路由器/网

关，同时将192.168.1.1与192.168.1.2作为它的DNS服务器。

假如您需要为您的Windows客户机指定一个WINS服务器，您需要包含

netbios-name-servers选项，如：

optionnetbios-name-servers;

Dhcpd配置设置能够从DHCP快速指南中得到，该指南能够在这里找至上

[]引用4.7.3.

[]域名解析服务（DNS）

域名解析服务（DNS）是一个Internet服务，相互映射IP地址与完全限定域

名（FQDN）o通过这种方式，使用DNS将不再需要记住IP地址。运行DNS的

计算机称之名称服务器。Ubuntu提供BIND（伯克利Internet名称守护程

序），一个在GNU/Linux上最常用的保护名称服务器的程序。

[]安装4.8.1.

在终端提示符彳受输入下列命令来安装dns：

sudoapt-getinstallbind

[]配置4.8.2.

DNS配置文件被储存在/etc/bind目录中。主配置文件叫

/etc/bind/named.conf。缺省配置文件的内容如卜所示：

//ThisistheprimaryconfigurationfilefortheBINDDNSservernamed.

//

//Pleaseread/usr/share/doc/bind/README.Debianforinformationonthe

//structureofBINDconfigurationfilesinDebianforBINDversions8.2.1

//andlater,"BEFORE*youcustomizethisconfigurationfile.

//

include^/etc/bind/named,conf,options”;

//reducelogverbosityonissuesoutsideourcontrol

logging{

categorylair.e-servers{null;};

categorycname{null;};

}；

//primetheserverwithknowledgeoftherootservers

zone.（

typehint;

file〃/etc/bind/db.root”;

}；

//beauthoritativeforthelocalhostforwardandreversezones,andfor

//broadcastzonesasperRFC1912

zone"localhost”｛

typemaster;

file〃/etc/bind/db.local”;

｝；

zonez，127.in-addr.arpa^｛

typemaster;

file7etc/bind/db.：27”;

｝；

zone〃0.in-addr.arp