基于linux的中小型企业网络服务器配置

基于linux的中小型企业网络服务器配置 基于linux的中小型企业网络服务器配置,计算机应用技术, 马学梅 约6116字 摘要:该文主要围绕Linux下中小企业服务器的配置展开，主要对企业内部典型服务器如Web、FTP 、EMAIL进行配置。 关键词:Linux;DNS;FTP;SendMail Apache 中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)36-2765-03 Configuration of Small and Medium Enterprises' Server Based on Linux MA Xue-mei1,2 (1.Xidian University, Xi'an 710068,China;2.Ningxia TeachersUniversity,Guyuan 756000,China) Abstract: The main focus of this article is the configuration of small and medium enterprises' server under Linux operating system ,internal server models, such as Web, FTP, EMAIL configured. Key words: linux;DNS;FTP;sendMail apache 1 引言 随着企业业务的扩大，地域分布越来越广，企业在节约成本的基础上，都建立自己的企业网络，以便于企业内部和外部的沟通交流，可使得企业运作成本大大降低，企业内部的信息安全也会得到更好的保障。企业网络的与实现包括硬件需求与软件配置两方面，良好的硬件设施是企业网络建立的基础，由于企业需求不同，其具体解决也不相同;而软件及其相应的设置则决定了网络能否通畅，能否实现企业内外部的信息沟通。在网络操作系统的选择中，考虑到企业的需要，选择了目前比较流行且经济的Linux作为网络平台。Linux也是多用户、多任务的操作系统，相比Windows系列操作系统平台具有系统稳定、可移植性好、网络功能强大、安全性高等优点，而且Linux的发行版中也附带多套服务器软件，无论是架设网页服务器、邮件服务器，还是FTP服务器，都可以轻而易举地实现。 2 实施步骤 搭建Linux服务器是一个系统工程，涉及到硬件购置、软件安装、域名申请、网络服务提供等，在此我们仅介绍Linux操作系统下企业内部服务器的配置。 2.1 DNS设置 DNS全称Domain Name System，即域名系统，是网络建设中首要解决的问之一，是实现web、WWW、FTP等服务的基础，其作用是实现IP地址与域名之间的转换[1]。网络中提供这种服务的主机称为域名服务器。这样无论分配的IP地址是多少，都可以通过一个固定的域名来访问我们的Linux服务器。这里以Red Hat Linux为例建立应用于以下情况的域名服务器:拥有一个C类地址段202.102.240.64~95，域名注册为ylangt.net,域名服务器IP地址为202.102.240.65，主机名为ps1，需要解析的部分服务器有Web服务器www.ylangt.net(202.102.240.73)、邮件服务器mail.ylangt.net(202.102.240.77)、FTP服务器ftp.ylangt.net(202.102.240.79)。 配置过程:建立named控制文件 option{directory "/var/named";};//指定数据域数据文件都存放在/var/named目录下 zone "."{type hint;file"named.ca";};//定义根域信息 zone " 0.0.127.in-addr.arps"{type master;file"named.local";};//定义本地回路的正反向解析 zone "ylangt.net"{type master;file "db.ylangt.net";};//设置域名ylangt.net的相关信息，type指定该域性质，master是指该服务器为主域服务器，hint 指根域。 zone "240.102.202.in-addr.arps"{type master;file"db.240.102.202";};} 创建区数据文件/var/named/named.myhome.com.cn;// 该文件映射主机域名到IP地址 创建反向区数据文件/var/named/ named.202.102.240;// 该文件映射IP地址到主机域名。 建立本地反向区文件/var/named/named.local 建立缓存文件/var/named/named.ca;指定 named从该文件中获得Internet的顶层“根”服务器地址，但这个文件通常会发生变化，所以建议最好从Internet下载最新的版本。 建立纯解析配置文件/etc/resolv.conf; search yangt.net//指定客户默认域名， nameserver 202.102.240.65//指定DNS服务器的IP地址。 启动named守护程序 #/etc/rc.d/init.d/named restart。 2.2 企业FTP设置 FTP(File Transfer Protocol)即文件传输，它定义了网络上从一台计算机向另一台计算机进行文件传输的方式。利用FTP协议，我们可以在FTP服务器和FTP客户端之间进行双向数据传输，既可以把数据从FTP服务器上下载到本地客户端，又可以从客户端上传数据到远程FTP服务器。 vsFtpd是目前Linux最好的FTP服务器工具之一，其中vs就是“Very Secure”(很安全)的缩写，它的最大优点就是安全，同时还具有体积小，可定制强，效率高的优点[3]。一般Linux系统会默认安装vsftpd服务器。vsFtpd服务器的配置文件为/etc/vsftpd.conf,其配置选项很多，在此只介绍比较重要的配置。 直接启动VSFTP 服务 [root@relay vsFtpd]# /sbin/service vsFtpdstart StartingvsFtpdforvsFtpd: OK ] 为安全起见，先更换提供服务的端口，即将预设的端口由21更换为其他内容，如1111，当然还可 以用端口来区隔不同的Ftp 服务。修改/etc/vsFtpd/vsFtpd.conf，新增一行 listen_Port=1111，然后重新启动vsFtpd使设置生效。 一般用户的预设目录为/home/username，可以限定用户变更目录的权限，即不能在使用Ftp 时切换到上一层目录/home，则可进行如下设置: 修改/etc/vsFtpd/vsFtpd.conf， 将#chroot_list_file=/etc/vsFtpd.chroot_list 改为 chroot_list_file=/etc/vsFtpd/chroot_list 然后新增一个文件: /etc/vsFtpd/chroot_list内容增加两行: user1user2 (受限用户名) 重新启动vsFtpd后配置生效。 在默认安装的情况下，系统只提供匿名用户访问，若不希望使用者匿名登入，可取消anonymous 登入，则可修改/etc/vsFtpd/vsFtpd.conf 将 anonymous_enable=YES 改为 anonymous_enable=NO 。 一般启动vsFtp 时，我们会看到一个名为vsFtpd 的进程，要使每一个联机都能以独立的进程呈现，可以修改/etc/vsFtpd/vsFtpd.conf ，新增一行 setproctitle_enable=YES 然后重新启动vsFtpd，使用ps -ef 的指令即可看到不同使用者联机的情况。 设置可以限制传输文件的速度:修改/etc/vsFtpd/vsFtpd.conf在其中增加下面内容 anon_max_rate=50000 //限制匿名登入者所能使用的最高速度为50KBytes/s local_max_rate=200000 //限制本机使用者最高速度为200KBytes/s user_config_dir=/etc/vsFtpd/userconf //不同使用者限制不同的速度 假设use1 所能使用的最高速度为250KBytes/s，use2 所能使用的最高速度为500KBytes/s。 mkdir /etc/vsFtpd/userconf //新增一个目录/etc/vsFtpd/userconf 然后在/etc/vsFtpd/userconf 之下新增一个名为use1 的文件，内容为: local_max_rate=250000 在/etc/vsFtpd/userconf 之下新增一个名为use2 的文件，内容为: local_max_rate=500000 重新启动vsFtpd， FTP服务器基本配置结束，以命令行方式可正常访问FTP服务器。 Linux下可设置多用户登陆名和密码，但是帐号越多,系统安全性越差，所以必须要设置其登陆的目录。在chroot vsFtpd.conf下添加 chroot_list_enable=YES chroot_list_file=/etc/vsFtpd.chroot_list 然后在/etc下建一个文件vsFtpd.user_list，内容就是要限制的用户名。如果有特别需要访问其他目录，可以配合mount -bind命令来做。接着建立系统用户Ftpuser，将其加入Ftp组并将/etc/passwd中记录的最后一个字段改成/sbin/nologin，即禁止本地登录。设置/var/Ftp的所有者和所有组为root，权限为755,这样其他人在浏览时才有权限访问，否则不能访问。最后设置/var/Ftp/pub的所有者为root，所有组为Ftp，权限为775。 vsFtpd的基本配置完成。 在默认情况下,系统对每个用户所拥有的磁盘空间和文件数目是没有限制的,这样很容易被恶意或无恶意用户无限上传数据,从而造成系统崩溃[1]。因此必须进行磁盘配额限制。使用quota可以实现磁盘限额。假设/var/Ftp在根分区/(/dev/sda6)中，则将/etc/fstab中根分区的记录的第4个字段改成defaults,usrquota，如下:LABEL=/ / ext3 defaults,usrquota 1 2,接着重启系统，再输入命令:quotacheck -avu #检查启用了配额的文件系统，并为每个文件系统建立一个当前磁盘用的表 #quotacheck –avu //生成每个启用了配额的文件系统的当前磁盘用量表 #edquota Ftpuser//为用户Ftpuser设置磁盘配额 这时系统会在默认文本编辑器(vi)中打开配额文件,显示如下内容: Disk quotas for user Ftpuser (uid 502): Filesystem blockssofthardinodessofthard /dev/sda6 0 0 0 0 0 0 第一列是启用了配额的文件系统的名称。第二列显示了用户当前使用的块数。随后两列设置用户在该文件系统上的软硬块限度。inodes 列显示了用户当前使用的i节点数量。最后两列用来设置用户在该文件系统上的软硬i节点限度。硬限是用户或组群可以使用的磁盘空间的绝对最大值。达到了该限度后，磁盘空间就不能再被用户或组群使用了。软限定义了可被使用的最大磁盘空间量。和硬限不同的是，软限可以在一段时期内被超过，这段时期被称为过渡期。过渡期可以用秒钟、分钟、小时、天数、周数、或月数表示。如果以上值中的任何一个被设置为 0，则此限度就不会被设置。按需要修改后存盘退出。 校验用户的配额是否被设置则使用命令:quota testuser，使用edquota -t来设置过渡期，此命令相似，这个命令会在文本编辑器中打开当前的文件系统配额: Grace period before enforcing soft limits for users: Time units may be: days, hours, minutes, or seconds Filesystem Block grace periodInode grace period /dev/sda6 7days 7days 修改后存盘退出.这样我们为Ftpuser增添了磁盘配额。一个比较完整的FTP站点配置完成。 2.3 企业Email设置 Linux下企业邮件服务器采用SendMail实现，其配置文件位于/etc/mail/SendMail.cf，在创建的过程中还需要一个模板文件，Linux自带这样一个模板文件Sendmail.mc，故可以直接修改Sendmail.mc模板来定制sendmail.cf文件。具体配置如下: 首先修改/etc/mail/SendMail.cf文件来配置SendMail的监听端口以接收来自外部的连接: # SMTP daemon options O DaemonPortOptions=Port=smtp，Addr=127.0.0.1， Name=MTA 更改为 O DaemonPortOptions=Port=smtp，Addr=0.0.0.0， Name=MTA 然后设定SendMail允许接收的域名，可以在/etc/mail/local-host-names文件中设定。直接输入域名即可:# local-host-names - include all aliases for your machine here.yangt.net 重新启动SendMail服务:/etc/init.d/SendMailrestart。这样SendMail就可以接收来自多个域的信件了。如果增加新的域，只需修改此文件即可。 这样，邮件服务系统基本配置完成，可以正常工作。接下来创建具体的帐户。 限制单个用户邮箱容量。 如果对用户的邮件容量不加限制，服务器的硬盘是不堪重负的。这可以使用“邮件限额”功能来实现:因为电子邮件的暂存空间是位于/var/spool/mail目录下的，所以只需通过磁盘配额设定每一个邮件帐户在此目录下能使用的最大空间即可。 可以通过使用别名为单一用户设定多个邮件地址，别名在aliases文本文件中定义，该文件的位置由SendMail.cf指定，一般位于/etc目录下。 经过以上设置后，只能用Outlook Express正常发送邮件，但不能用其从服务器端收取邮件，因为sendmail默认状态并不具备POP3功能，我们还得自己安装它。POP3服务器安装好并启用后，先修改/etc/xinetd.d/ipop3文件，将其中的“disable=yes”改为“disable=no”后保存;然后重新启动xinetd程序来读取这个修改过的配置文件，使之生效: [root@ahpeng root]#/etc/rc.d/init.d/xinetd reload 此时Linux才是真正的邮件服务器。 2.4 Web设置 Apache是Web服务器的最佳选择。 Apache对Linux的支持相当完美，集成代理服务器和Perl编程脚本，对用户的访问会话过程可以进行跟踪，可以对服务器日志定制，还支持虚拟主机及HTTP认证等。安装Linux系统的过程中选中Web服务，则Apache会自动安装。要使WEB服务器正常运行，就需要对以下进行配置。传统上主要对三个配置文件httpd.conf，access.conf和srm.conf进行配置[3]，但新版本的Apache中，所有的设置都放在httpd.conf中，因此只需要设置这个文件即可。 httpd.conf首先定义了一些决定服务器启动环境及服务器运行方式的参数。 ServerTypestandalone/inetd:用来指定WEB服务器以何种方式运行。缺省方式为standalone，它表示WEB服务进程以一个单独的守候进程的方式在后台侦听是否有客户端的请求，如果有就生成一个子进程来为其服务;inetd方式则使用inted来监视连接请求并启动服务器，在此采用默认方式。 ServerRoot:用来指定服务器的配置及日志文件所在目录。设置为:ServerRoot /etc/httpd。 Server Admin: 设置WEB管理员的E-Mail地址.设置为:Server Admin liygt@yangt.net。 Port:用来设置主服务器进程侦听的端口。设置为: Port [number] (缺省为80)。 ErrorLog:用来指定错误记录的文件名称和路径。设置为:ErrorLog /var/httpd/error.log。 下面两个参数则是告诉服务器在WWW站点上提供的资源及如何提供。 DocumentRoot: 用来指定主文档的地址。设置为:DocumentRoot /home/httpd/html。 DirectoryIndex:用来指定首页文件的名称。首页一般都以“index.html”或“index.htm”作为文件名。当设置为这两种文件名之后，只要用户发出WEB请求，即将调入以“index.html”或“index.htm”命名的主页。格式如:DirecotryIndex index.html index.htm。 采用用户名/口令的认证方式保证Apache服务器的安全。经过以上简单的配置后，WEB服务器已经具备基本功能。使用命令/etc/rc.d/init.d/httpd restart重启WEB服务，使所做配置生效。 3 存在问题及结论 以上配置均是企业服务器配置过程中最主要的部分，基本保证企业内部和外部都能访问Web站点，Ftp站点及企业邮局。当然还有很多性能配置需要在网络运行过程中逐渐完善。 参考文献: [1] 卢军.在企业网中如何设置DNS[J].无线电通信技术,2002(5):8-10. [2] 阎秀富.用vsftpd构建FTP服务器[J].微电脑世界,2005,(5). [3] 裴植,肖薇.红旗Red Hat Linux开发及网络应用[M].北京:人民邮电出版社,2001.