Turbolinux DataServer 7.1 User Guide
Turbolinux® DataServer 7.1 用户指南
若本手册内容变动
若本手册内容变动, 恕不另行通知
若本手册内容变动若本手册内容变动
本手册例子中使用的公司、人名和数据若非特别指明
本手册例子中使用的公司、人名和数据若非特别指明, 均属虚构
本手册例子中使用的公司、人名和数据若非特别指明本手册例子中使用的公司、人名和数据若非特别指明
(C)1992-2004 北京拓林思软件有限公司版权所有
(C)1992-2004 Copyright Turbolinux,Inc
Linux 商标属于
商标属于 Linus Torvalds 先生所有
商标属于商标属于
北京拓林思软件有限公司版权所有
北京拓林思软件有限公司版权所有北京拓林思软件有限公司版权所有
恕不另行通知.
恕不另行通知恕不另行通知
先生所有
先生所有先生所有
用户指南
用户指南用户指南
均属虚构.
均属虚构均属虚构
本指南中的内容仅仅是提供信息,如果信息有变化,不另行通知,而且不应该被当作是
Turbolinux 有限公司的承诺. 对本手册中可能出现的任何错误,Turbolinux 不负任何责任.
只要该版权通知在所有的副本上都不被更改,保持完好,则无需事先获得 Turbolinux
的书面通知,可以对本手册进行复制,保存在检索系统,或以电子,机械,记录等其他任何
形式或方式进行传播.
Turbolinux, Inc., Turbolinux, 以及 Turbolinux 徽标都是 Turbolinux 公司的商标.
所有其他的名词和商标的所有权归各自的所有者拥有.
本手册由 Turbolinux Inc.设计和完成.
联系方式:
电 话: 86.10.65054020
传 真: 86.10.65054017
地址: 北京市朝阳区光华路七号汉威大厦 15B1
邮政编码: 100004
网址: http://www.turbolinux.com.cn/
目
目 录录录录
目目
Turbolinux® DataSer ver 7.1 用户指南
前言 .................................................................................................................................................. I
致谢........................................................................................................................................... I
印刷规范..................................................................................................................................II
征求用户反馈..........................................................................................................................II
技术支持.................................................................................................................................III
在线更新.................................................................................................................................III
Service Pack 功能..................................................................................................................III
第1章 Turbolinux 服务器安全...................................................................................................1
什么是安全?...........................................................................................................................3
家庭安全...................................................................................................................................3
计算机安全...............................................................................................................................4
Linux 安全...............................................................................................................................5
Turbolinux DataServer 7.1的策略....................................................................................6
“全部拒绝”方法...................................................................................................................7
有关安全方面的机构组织的详情...........................................................................................8
第 2 章 系统管理...........................................................................................................................10
超级服务器和服务器程序.....................................................................................................11
超级服务器.............................................................................................................................11
服务器.....................................................................................................................................11
端口监督程序.........................................................................................................................11
超级服务器模式和独立模式.................................................................................................12
超级服务器的功能和任务.....................................................................................................12
超级服务器的不利方面.........................................................................................................13
Xinetd......................................................................................................................................13
访问控制.................................................................................................................................16
安装和升级软件包.................................................................................................................19
使用 rpm..................................................................................................................................19
Turbopkg.................................................................................................................................21
服务.........................................................................................................................................25
chkconfig...............................................................................................................................29
查看各运行级别的服务设置.................................................................................................29
联网.........................................................................................................................................30
netcfg – turbonetcfg................................................................................................................32
打印.........................................................................................................................................39
配置打印系统.........................................................................................................................41
第 3 章 Internet 服务器..............................................................................................................46
名称服务器(DNS 服务器)..................................................................................................47
主名称服务器.........................................................................................................................47
从名称服务器.........................................................................................................................48
用户指南 .....................................................................................1
用户指南用户指南
超高速缓冲服务器.................................................................................................................48
从属服务器.............................................................................................................................48
解析器.....................................................................................................................................48
典型设置.................................................................................................................................51
引导文件(/etc/named.boot)设置示例...........................................................................52
解析器文件(/etc/resolv.conf)设置示例.....................................................................53
loopback 文件设置示例 .........................................................................................................54
正向查找文件(或区域文件)设置示例.............................................................................54
逆向查找文件(或逆向文件)设置示例.............................................................................55
检查配置.................................................................................................................................56
BIND 9.....................................................................................................................................59
邮件服务器.............................................................................................................................62
Sendmail .................................................................................................................................62
POP/IMAP..............................................................................................................................65
邮件管理.................................................................................................................................66
Web 服务器(HTTP 服务器).................................................................................................69
Apache(阿帕奇)概述.........................................................................................................69
启动和停止 httpd..................................................................................................................70
httpd 配置..............................................................................................................................71
采用 SSL 的安全站点组织.....................................................................................................77
公共站点设置示例.................................................................................................................78
FTP 服务器..............................................................................................................................79
ProFTPD.................................................................................................................................79
基本配置.................................................................................................................................80
第 4 章 Intranet 服务器..............................................................................................................82
Samba......................................................................................................................................83
Samba 套件..............................................................................................................................83
Samba 启动模式......................................................................................................................84
启动和停止 Samba..................................................................................................................84
Samba 配置..............................................................................................................................85
加密密码.................................................................................................................................91
文件和打印机共享.................................................................................................................92
测试设置.................................................................................................................................93
通过 SWAT 进行配置...............................................................................................................93
MS Windows 和 Macintosh 的共存........................................................................................95
Netatalk...................................................................................................................................95
Netatalk 部件........................................................................................................................96
启动和停止 Netatalk............................................................................................................97
Netatalk 设置........................................................................................................................98
Portmapper (portmap)...........................................................................................................102
访问控制...............................................................................................................................103
NFS.......................................................................................................................................104
启动和停止 NFS....................................................................................................................104
NFS 服务器设置....................................................................................................................105
客户端设置...........................................................................................................................107
安全.......................................................................................................................................108
NIS........................................................................................................................................109
服务器和客户端共同的设置...............................................................................................109
服务器设置...........................................................................................................................110
客户端设置...........................................................................................................................110
第 5 章 其他服务.........................................................................................................................112
SSH.......................................................................................................................................112
开始和终止 ssh...................................................................................................................112
服务器配置...........................................................................................................................113
连接方法...............................................................................................................................113
DHCP....................................................................................................................................113
DHCP 配置.............................................................................................................................114
启动和终止...........................................................................................................................117
当 DHCPD 不正常运行时.....................................................................................................118
DHCP 软件包..........................................................................................................................118
客户端配置 (Turbolinux).................................................................................................119
LDAP....................................................................................................................................119
创建 LDAP 服务器数据库.....................................................................................................119
使用 LDIF 格式....................................................................................................................120
创建 slapd.conf 文件.......................................................................................................120
从 LDIF 数据库到 LDBM 数据库的转换...........................................................................122
启动 LDAP 服务器................................................................................................................123
测试服务器...........................................................................................................................123
其他选项...............................................................................................................................123
配额.......................................................................................................................................124
配额设置...............................................................................................................................125
IP 伪装.................................................................................................................................128
iptables..................................................................................................................................128
附录 A 基本操作..........................................................................................................................130
登录和退出登录...................................................................................................................130
定义登录方法.......................................................................................................................130
使用命令行进行登录...........................................................................................................131
在命令行下退出登录状态...................................................................................................131
使用 GUI(图形化用户界面)进行登录............................................................................131
使用 GUI 退出登录...............................................................................................................132
管理用户账户.......................................................................................................................132
创建和更改用户账户(useradd, passwd).....................................................................133
删除用户账户.......................................................................................................................134
切换为另一个用户(su)...................................................................................................134
关闭系统...............................................................................................................................135
直接切断电源.......................................................................................................................136
使用文件...............................................................................................................................137
列出文件和目录(ls).......................................................................................................137
切换至不同的目录(cd)...................................................................................................138
查出当前目录(pwd).........................................................................................................138
拷贝文件和目录(cp).......................................................................................................139
移动文件(mv)...................................................................................................................140
更改文件名(mv)...............................................................................................................140
创建目录(mkdir).............................................................................................................141
删除文件和目录(rm, rmdir).........................................................................................141
查看文本文件(cat, less, more).................................................................................142
查找文件(find)...............................................................................................................144
搜索字符串(grep)...........................................................................................................145
压缩和解压缩文件(gzip)...............................................................................................145
创建和提取归档文件(tar).............................................................................................146
进程管理...............................................................................................................................147
查出进程的状态(ps).......................................................................................................147
终止进程(kill)...............................................................................................................148
管理设备...............................................................................................................................149
分区.......................................................................................................................................150
分区和文件系统...................................................................................................................150
使用 mount 命令...................................................................................................................151
了解磁盘的使用情况(df, du).......................................................................................153
安装和升级软件包...............................................................................................................155
使用 rpm................................................................................................................................155
访问在线手册(man page).....................................................................................................156
附录 B TCP/IP 联网.....................................................................................................................158
TCP/IP...................................................................................................................................158
以太网...................................................................................................................................158
CSMA/CD 协议........................................................................................................................159
MAC 地址................................................................................................................................159
ARP.......................................................................................................................................160
IP 地址..................................................................................................................................160
网关地址...............................................................................................................................162
引导过程设置.......................................................................................................................162
检查网络...............................................................................................................................163
前言
前言
前言前言
致谢
致谢
致谢致谢
Turbolinux DataServer 7.1 用户指南提供关于使用 Turbolinux DataServer 7.1所需
要的所有信息,该 Turbolinux 采用 Linux 2.4.21 内核, 部分汉字字库采用东文字库.
感谢您从众多的 Linux 中选择 Turbolinux!
在中国、美国、日本 Turbolinux 公司的共同努力协作开发下 Turbolinux 具有安装简便、
应用广泛、性能高、便于使用的特点.
自1993 年以来,我们一直进行 linux 方面的工作,Turbolinux 在太平洋沿岸地区是
Linux 的带头羊.我们在1997 年就推出了自己的国际化版本,目前支持简体中文,繁体中文、
日文、 韩文以及英文. 有关 Turbolinux 的 最 新信息,请访问我们的 Web 站点
http://www.Turbolinux.com.cn
通过开放源码运动以及 Linux 的缔造者 Linus Torvalds 的推动,我们的事业取得了成
功;通过我们的共同努力,用户对 Turbolinux 感到满意. 我们向那些已经而且继续为实现这
一目标作出贡献的 Linus Torvalds 以及世界各地无数的 linux 开发者们表示感谢.
/
.
I
印刷规范
印刷规范
印刷规范印刷规范
本指南使用以下规范:
• 正文中的英文字符表示命令,选项,参数以及用户输入
• 文本中的英文字符表示以下情况:
• 变量名,目录名,文件名
• URL (Web 站点名)
• email 地址
• 被强调的字(第一次出现)。
• 文本中的用引号括起的内容表示屏幕名
• 文本中的用引号括起的英文内容表示出现在 GUI 上的按钮,菜单项,选项
• 其他英文字符字符表示用户在终端屏幕上输入的命令行
• 斜黑体单间隔(Courier)字符表示用户输入的字符串的名称。例如,
用户输入自己的密码,而不是字符串“pasword”这个字本身。
•
常规非黑体单间隔字符表示在终端屏幕上显示的系统响应。
• 出现在系统响应中的用角括弧 “ <>” 括起来的常规非黑体单间隔字符表示字符串
的名称,该字符串被系统用实际的字符串替换。例如,
192.168.1.10。
• “讯息字符串”由双引号 (“”)括起来。
征求用户反馈
征求用户反馈
征求用户反馈征求用户反馈
Turbolinux, Inc. 坚持不懈地努力优化和改进自己的产品,我们极为重视用户的反馈和
意见,欢迎用户指正出现的任何失误、不足、错误或遗漏.用户的需求、意见和建议是我们
在下一个版本中进行改进和提高的依据.
<host_address>可以被显示为
password
意思为
如果您对我们的产品何方面有什么意见和建议,请告知我们.我们静候用户的心声.我们
的 Email 为
support@Turbolinux.co
m.cn .
II
技术支持
技术支持
技术支持技术支持
Turbolinux 向购买我们光盘的用户提供各种形式的技术支持.详情请参观我们的 web
站点
http://www.Turbolinux.com.cn
以便获得这些支持.登记时,需要产品注册号码,该号码在 Turbolinux DataServer 7.1 包
装盒中.
在线更新
在线更新
在线更新在线更新
Turbolinux DataServer 7.1 具有多种升级手段,其中,方便快捷的在线更新为用户提
供了更加灵活的升级方法。在安装完毕的系统中,按照图中所示,选择 Turbo 在线升级。
/ , 获取技术支持前请务必登记你的 Turbolinux 产品,
出现使用界面后,选择“扫描升级信息”就可以了。因为连接数量有限,如果运行失败,
请多尝试几次。也可以选取“更改读取介质”来进行手动的更新。
Service Pack 功能
Turbolinux 公司始终致力于保持产品与业界最新,最成熟技术的同步性。除了多种更
新手段以外,还提供定期的 Service Pack。Service Pack 将是对一定时期内系统更新的一
个总结。当新的 Service Pack 盘出现的时候,用户进行系统安装就应该选择 Service Pack
盘作为第一张安装盘,然后按照相关安装步骤进行安装,在全部系统安装完毕以后,安 装系
统会提示再一次插入 Service Pack 盘。当上述所有的步骤都完成的时候,系统就已经是经
过升级后的系统了。
功能
功能功能
III
第
第1111章
第第
网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。
其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安 全 问题
刻不容缓。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应
用数学、数论、信息论等多种学科的综合性学科。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不 受偶然的或者恶意
的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。从 广 义 来 说,凡是涉及到网络上信息
的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
章 TTTTurbolinux
章章
urbolinux 服务器安全
urbolinuxurbolinux
服务器安全
服务器安全服务器安全
网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的
角度来说,他 们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完 整性和
真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐,
同时也避免其它用户的非授权访问和破坏。
从网络运行和管理者角度说,他 们希望对本地网络信息的访问、读写等操作受到保护和
控制,避免出现“陷门”、病毒、非法存 取、拒绝服务和网络资源非法占用和非法控制等威
胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他 们希望对非法的、有害的或涉及国家机密的信息访问进行过滤
和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网 络上不健康的内容,会对社会的稳定和人类的发展
造成阻碍,必须对其进行控制。
近来网络技术取得迅猛进展及用户数量急剧增加,Internet 迅速发展,Linux 随之成为最
重要的网络操作系统中的一员, 因此,Linux 环境下的安全问题也不能忽视。
Linux 与其它的 UNIX 派生物一样,是 内 嵌 Internet 技术支持的操作系统。Linux 的特点
之一就是灵活性,对安全而言,这既给用户带来好处也能带来灾难。如果是知识渊博的管理
员, 运行 Linux,就达到很高的安全性. 如果不是, 请不要随便改变没有把握的设置,这样也
会尽量保证系统的安全.
1
Turbolinux 的最大好处 是源 码公开,不可能存在后门.
本章将介绍安全方面的基本知识,这些知识用户应该知道并且能够理解相关概念。
2
什么是安全?
什么是安全?
什么是安全?什么是安全?
对计算机系统和网络而言,安全主要是指采取措施防止非授权访问存储在各个计算机上
或在各个计算机之间传输的数据。为了维护数据的完整,也为了防止数据被恶意删除修改,
采取这些措施是绝对必要的。这一节讨论以下主题,以阐明和理解安全概念:
家庭
•
• 计算机安全
• Turbolinux 安全
家庭安全
家庭安全
家庭安全家庭安全
当提及系统安全,诸如防火墙,加密,安 全 漏洞以及非授权访问等词汇马上就出现在人
安全
们的脑海中。但这仅仅是方法。最重要的问题是“你想保护什么?”
暂且不提计算机,网络以及其他技术术语,考虑考虑发生在我们周围的事情。
例如,你为什么要锁门?原因大概不会是“因为我有钥匙”吧。你锁门是因为您不希望
家里的物品被别人不经同意就拿走,不希望他们被损坏, 不希望自己受到伤害.
我们按照以下思路考虑家庭安全:
• 关注的对象: 人及家里的财物
• 威胁: 火灾,闯入,行窃,欺骗
• 措施: 锁,警报,监视器,老鼠药
汇集了这些设施,你就能够开始谈论你的策略。
所以,对于上锁,你能够想到的情况包括: 家里无人; 只有孩子在家的时候;
你的策略就是应用最适合于你的情况的措施, 无论它是什么措施。
夜晚。
在考虑安全策略时,容易犯的常见错误之一就是认为“大的应该包括小的”。
谁会花一千元来保护一个仅值一百元的表呢 ? 这种过度的方法不仅会浪费你的金钱和
精力,而 且 实际上还会消弱你的安全。例如,每次取下表和再带上时,都 不 得 不 打开保险箱。
最终会变得厌烦懒惰,完全忘记锁保险箱。遵循以下方针是明智之举:
• 投资额不要大于你的物品的价值
• 不要盲目地牺牲便利
3
记住了这些要点,你的房子现在就安全了。但是仍然不能松懈。锁可能会被用坏和撬开,
你也可能会把钥匙丢了。
安全需要具备不断的警惕性。必须定期重新评估策略的有效性,根据新的需要作相应的
变化,甚至重新定义你想要保护的是什么。
计算机安全
计算机安全
计算机安全计算机安全
计算机安全就像家庭安全一样,也是日常关心的事情。大多数的家庭安全都是共同的,
不必详细地系统考虑。而对计算机来说,由于行业术语和技术问题带来的混乱,获得单一,
一致的响应是不可能的。因此,根据实际情况阐明公司,学校以及其他组织机构的安全协议
是非常重要的。这 些 协 议 将成为这些组织机构的安全策略。在制订安全策略时,应 该 特 别 注
意以下事项:
! 对象,威胁,措施
! 职责和权限
! 法律
! 安全策略
对象,威胁和措施
对象,威胁和措施
对象,威胁和措施对象,威胁和措施
对象分两大类:数据和计算机资源。
有不同的方法区分威胁。例如,做某件事是否是故意的,是属于物质上的还是属于知识
方面的。
措施的建立应该不需要大量的具体的技术细节。
职责和权限
职责和权限
职责和权限职责和权限
从技术的角度来看,有 各 种日常操作,例如建立或删除帐户,或诸如登录监视等特殊任
务。应该清晰地鉴定整个操作以及职责范围的权限。
法律
法律
法律法律
阅读他人邮件,检查日志文件,以及其他活动可能会侵犯隐私。应该
么属于合法备份以及什么是属于为防止合法的侵犯而采取的控制。
安全策略
安全策略
安全策略安全策略
事先确定将如何管理安全策略,以及都有那些职责。安全策略是一种协议。它应该
清晰地鉴定什
反映组织机构中和周围每个用户的的普遍情况。应该代表所有相关方的一致性。虽然没
有包罗万象的完美安全策略,但是应该设法努力使它尽可能全面和广泛。
4
Linux
Linux 安全
Linux Linux
Linux 中。本节着重介绍 Linux 的特性。
二进制版本
二进制版本
二进制版本二进制版本
安全
安全安全
因为 Linux 是从 UNIX 中派生出来的,为 UNIX 开发的安全概念和技术能够应用到
• 二进制版本
• PC
• 开放式资源
• 用户的大量增加
Linux 发行版中的大多数程序,包括免费软件,都是以编译好的二进制格式发布的。所
以如果发现软件有安全问题,需 要 进 行 修复,然后再将新二进制软件发布给客户,在这段时
间内客户的安全就会受到影响。而且由于单一的二进制是重新发布的,也有可能会出现新的
问题以及新的安全漏洞,这对服务器的安全不利。
PC
在安装 Linux 的机器中,最常见的就是 PC。尽管硬件的可靠性各不相同,但是可以肯
定的是,普通的计算机尤其易于被直接接触。PC 能够被打开,硬盘可以被拿出来,或者整台
计算机会被偷走。有必要开始时就小心选择硬件设备,例如为服务器买一个装配支架。
开放式资源
开放式资源
开放式资源开放式资源
有些人认为如果源代码对公众公开,安 全 漏洞就易于被利用。这 种观点正确吗?事实是
近来发现的已经成为严重问题的安全漏洞,
与开放式资源无关。
实际上,正是由于资源是开放的,安全漏洞往往能够被迅速发现,世界各地的程序
员和系统管理员能够很快为漏洞提供补丁程序,所以向公共开放资源能够看成是有利条
件, 并且,用户自己修复安全漏洞也是完全可能的.相反,如果不公开源码发现漏洞也只能
等待补丁,并且谁能保证这些系统中没有留有后门?
5
用户的大量增加
用户的大量增加
用户的大量增加用户的大量增加
Linux 用户的数目和种类不断增加。随着类别的增加,维持广泛全面的安全战略变得愈
来愈困难。随着用户数目的增加,心怀恶意的人的可能性增大。
Turbolinux DataServer 7.1
Turbolinux DataServer 7.1 的策略
Turbolinux DataServer 7.1Turbolinux DataServer 7.1
Turbolinux DataServer 7.1 是一个系统,它一开始就被当作服务器运行。服务器一词意味
着很多不同种类的服务集合在一起,例如邮件服务,文件服务,名称服务,数据库服务等等。
而且,因为它是 Linux,所以也能当作工作站。一旦确定了服务器的类型(根据它的目的),
就能够检查相应的安全策略。
正如以前介绍的,安全策略必须反映给定组织机构以及周围每个用户的普遍情况。通过
的策略
的策略的策略
理解 Turbolinux DataServer 7.1 潜在的策略,就能够创建一个相对简单和安全的系统。
尽管 Turbolinux DataServer 7.1 的安装设计策略超出了本指南的范围,但是本节将介
绍与安全直接相关的最重要的方面,以及频繁询问的问题。
6
“全部拒绝”方法
“全部拒绝”方法
“全部拒绝”方法“全部拒绝”方法
能够使用两种方法来建立安全策略:“全部拒绝”和“全部允许”。“全部拒绝”开始时
是拒绝所有的,然后再选择性地允许所需要的。“全部允许”的观点是允许所有的通过,然
后再选择性地拒绝不需要的。一般来说,“全部拒绝”更安全,而“全部允许”更简单。
如果在安装时选择“高安全”选项,Turbolinux DataServer 7.1就采取“全部拒绝”方式。这
种配置方式将停止由 xinetd 启动的所有服务,配置 hosts.allow 和 hosts.deny ,拒绝本机
以外的所有访问。
帐户
帐户
帐户帐户
帐户管理负责增加和删除帐户、设置有效期限等规则。同 时, 它也设置诸如密码加密格
式和登录格式等。在 Turbolinux DataServer 7.1 中,通常使用 shadow 密码, 加密的密码内容
并不存放在/etc/passwd,而是在/etc/shadow 文件中, 该文件只能 root 用户读取,进一步加强
了系统安全.通过使用 Linux-PAM(Linux 可插入鉴定模块)就 可以安全方便的读取使用这些
加密信息。有关 PAM 的详情,请参阅 pam 的 man page。
在 Turbolinux 中,没有设置密码失效时间的标准。全面的标准看来效果不好,因为这些
设置都直接依赖于每个组织机构特定的规则。用 chage 命令能够更改这些设置。有关它们
的详情,请参阅 chage(1) 的 man page。。。。
注册过多的帐户信息可能会侵犯用户的隐私。Turbolinux 的标准帐户注册只在标准登录
策略范围之内。
日志文件
日志文件
日志文件日志文件
对任何安全策略来说,设置日志文件的保持时间是重要的。Turbolinux DataServer 7.1
设置日志文件每个星期循环一次,并保持前 4 次的文件(共 5 个星期)。此外,登录记录 wtmp,
每个月循环一次,并保持上一次的记录(共 2 个月)。 有关详情,请参阅 logrotate(8) 的 man
page。
超级用户
超级用户(root)权限和许可
超级用户超级用户
权限和许可
权限和许可权限和许可
7
超级用户(root)登录局限于虚拟控制台。不允许通过 telnet 或 ssh 以超级用户(root)直接
远程登录。请参阅 securetty(5) 的 man page,了解如何从指定的终端,如串行控制台(tty),
进行登录。
升级
升级
升级升级
升级软件可以增加新功能、 提高性能、修复故障。在更新软件前,首先要确定是否
确实需要升级;如果有必要,升级的最佳方法是什么?特别要注意通过网络传送来的软
件包的内容。一定要确认该软件包没有“特洛伊木马”等病毒。
同时,如果有软件包文件的校验和(MD5)信息,请在安装下载文件前,用 md5sum 命令
查看其准确性。
有关安全方面的机构组织的详情
有关安全方面的机构组织的详情
有关安全方面的机构组织的详情有关安全方面的机构组织的详情
这一节列出有关安全方面的各种机构组织的清单。注意,清单中可能会有遗漏。
CERT/CC
非授权访问事件被称为“计算机安全事件”。如果发生此类事件,可以向“计算机安全
事件响应组(CSIRT)”咨询信息和征求建议。计算机安全事件响应组的全球服务网址为:
http://www.csirt.ws/
CERT/CC 发布的 CERT 报告是安全方面的最权威的信息来源。CSIRTs 是针对特定的
国 家,地区或组织。 属于此类的 还 有 CIAC (www.ciac.llnl.gov
(www.certcc.org.kr), 以及 AUSCERT (www.auscert.org.au
) , CERTCC-KR
)。
安全方面的
安全方面的 Web 站点
安全方面的安全方面的
本节列出安全方面的各个 web 站点,并进行简要介绍。
web 站点
站点 介绍
站点站点
http://www.first.org/ FIRST 是世界各地的 CSIRTs 论坛。它的目的
站点
站点站点
介绍
介绍介绍
8
是 CSIRT 组之间共享信息,促进安全事件方
面的合作。
http://www.rfc-editor.org/ 很多 RFCs(请求注解)文件处理安全问题。
RFC 2196(站点安全手册)和 RFC 2504(用
户安全手册)对帮助创建安全的计算环境尤
其重要。
http://www.w3.org/Security/Faq/www-security-faq.html World Wide Web 安全常问问题
http://www.netscape.com/products/security/resources/notes.html 这个站点上有 Netscape 的安全注释,以及对
Netscape和 JavaScript中安全漏洞的修补程序
9
第
第 2222 章
第第
对 Turbolinux DataServer 7.1 的系统管理是通过设置各种配置文件(或配置)、以及使用
命令行来进行的。
此外,Turbolinux DataServer 7.1 还提供了多种交互式配置程序,我们称之为 Turbotool
(Turbo 工具),借助这些工具,可使很多系统管理任务大为简化。
在本章中,首先介绍了多种超级服务器、多种服务、以及多种端口监督程序。接下来,
介绍了执行系统管理任务时你将用到的各种配置文件和命令,同时还给出了针对恰当的
Turbotool 的信息和屏幕截图。
章 系统管理
章章
系统管理
系统管理系统管理
10
超级服务器和服务器程序
超级服务器和服务器程序
超级服务器和服务器程序超级服务器和服务器程序
在本节中,介绍了有关超级服务器的信息,并介绍了在 Turbolinux 中将它们组织在一起
的方法。
超级服务器
超级服务器
超级服务器超级服务器
超级服务器负责控制普通服务器,超级服务器将根据需要启用、禁止或运行普通服务器。
超级服务器也被称为“Internet 超级服务器”或“Internet 服务端口监督程序”。
例如,根据需要制定某一超级服务器,即可对服务器程序(如 ftp、telnet 等)进行管理
或控制。
其中,xinetd 就是超级服务器程序中的一种。
Turbolinux 提供了 serviceconfig(turboservice),通过它,可帮助你控制自己的超级服务
器。要想了解详细的内容,请参阅 “Serviceconfig-turboservice”。
服务器
服务器
服务器服务器
Linux(或 UNIX)中很多可用的网络功能均能通过客户端程序和服务器程序之间的通
信来实现,客户端程序运行在某一台计算机上,服务器程序通常运行在远端计算机(服务器)
上,该服务器负责提供所需要的功能。发 出请求并享受服务的一端成为客户程序,接受请求
并提供服务的一端成为服务器程序。例如,FTP 客户端程序发请求给诸如 proftpd 等服务器
程序,从而发挥 FTP 的功能。
端口监督程序
端口监督程序
端口监督程序端口监督程序
端口监督程序(daemon)是 UNIX 中的一个专业术语,用于表示服务器程序。这些程
序会始终驻留在服务器机器上并在其上运行,而且在需要时,会调用它们并使之采取行动。
例如,proftpd 和 sshd 分别是针对客户端程序 ftp 和 ssh 的端口监督程序。对大多数端口监督
程序而言,在它们的程序名称后面都带有字母“d”。
11
对于 Internet 来说,其诸多协议均有严格的定义,但从另一方面来讲,就它们的实际实
施方式而言,并未预先确定下来。因此(例如),FTP 功能既能通过 ftpd 来实施,也能通过
Proftp来实施。
超级服务器模式和独立模式
超级服务器模式和独立模式
超级服务器模式和独立模式超级服务器模式和独立模式
能够直接启动服务器程序(端口监督程序),而无需某一超级服务器的管理或控制。当
直接启动某一服务器程序时,我们会说该服务器程序运行在“独立模式”下。当某一服务器
程序是通过超级服务器启动时,那么该服务器程序就被视为运行在“超级服务器模式”下。
超级服务器的功能和任务
超级服务器的功能和任务
超级服务器的功能和任务超级服务器的功能和任务
在下面的段落中,介绍了超级服务器的功能、任务和优点。
! 减轻系统上的负载
在独立模式下启动的每一个服务器程序都必须驻留在内存中,这样,它们必然要占用相
当多的内存。但是没有理由认为,每一个这类服务器程序会同时处于不断的运行当中。
如果能在收到请求时启动它们,并在完成请求后使其返回待命状态,那么内存就不会被
独占。作为这些服务器程序的代理,一个处于不断运行状态的超级服务器仅会在需要时
才运行它们,该超级服务器能减少对内存的需求并能降低系统的负载。
! 减轻系统管理方面的负担
对于在独立模式下启动(或停止)的每一个服务器程序来说,都需要对其单独的管理。
这给系统管理员带来了更多的工作量,对 于 由 每个服务器程序提供的多项服务来说,系
统管理员必须单独处理其中的每一个。另一方面,通过使用超级服务器,就有可能在某
一点上进行管理/控制。
! 提升系统的冗余性和坚固性
如果出于某种原因,运行在超级服务器模式下的某一特定的服务器程序不能正确执行其
功能,在遇到下一个请求时,会重新启动它。这就改善了系统的冗余性和稳定性。
目前,每天都会滋生新的服务,这时就需要新的服务器程序,对这些程序进行单独管理
12
正变得越来越不现实。由于超级服务器能够对这些程序进行集中控制,这种能力使得它
成为人们不可或缺的工具。
事实上,在安装了超级服务器的 Linux 和 FreeBSD 中,大多数服务器程序均被配置为
在超级服务器模式下启动。
超级服务器的不利方面
超级服务器的不利方面
超级服务器的不利方面超级服务器的不利方面
就其不利因素而言,在下述情况下,每次收到请求时对服务器程序的启动和停止有可能
增加系统上的实际负载。
! 存在需接受众多连接请求的多个服务时
! 某一服务在启动的初始化阶段要占用太多时间时
当这类服务使系统的负担加重时,你可以通过在独立模式下启动它来改善系统的效率。
Web 服务器就是一个典型的例子,Web 服务器接收众多连接请求的可能性非常大。出于同
样的原因,邮件服务器(如 Sendmail)也常常运行在独立模式下。因此,你应选择与任务相
适合的模式。
Xinetd
Xinetd 就是最常见的超级服务器之一。
在 Turbolinux DataServer 7.1 中,xinetd 是一个标准模块,它会在系统的引导过程中启动。
Xinetd 基础
在服务配置文件中指定的端口,这些服务配置文件位于由 xinetd 的配置文件/etc/xinetd.conf
基础
基础基础
在系统的引导阶段,将通过启动脚本/etc/rc.d/init.d/xinetd 来启动 xinetd。xinetd 将检查
指定的目录中;然后,它将等待连接请求。当 xinetd 收到连接请求时,它将判断与端口相对
应的服务,并激活负责提供该服务的服务器程序。在将连接请求提交给由 xinetd 启动的服务
器程序后, xinetd 又能立即监听其他服务。当服务器程序完成任务时,xinetd 会再次检查其
端口。
13
名称
名称 Xinetd
名称名称
端口监督程序 /usr/sbin/xinetd
配置文件,父目录 /etc/xinetd.conf, /etc/xinetd.d/
启动脚本 /etc/rc.d/init.d/xinetd
相关文件 /etc/services
来自 TCP/IP 子系统的可用服务名称列表,以及它们相应的端口号
码
/etc/protocols
协议名称和端口号码列表
Xinetd
Xinetd 服务配置文件
XinetdXinetd
服务配置文件
服务配置文件服务配置文件
启动时,xinetd 程序会从一个文件中读取配置信息,缺省情况下,该文件位于目录
/etc/xinetd.d/下。该目录下包含了由 xinetd 启动的所有服务的配置文件。配置文件中包含多
个与变量有关的行。对于注释行,在行的开头包含字符“#”。每个配置文件均以少量注释行
开始,在这些注释行中,详细介绍了服务名称、以及一些缺省设置,后面跟着下述行:
Service <name>(服务名称) 指明了服务的名称,如ftp、telnet等。在文件
/etc/services中记录了有效主机和端口的名称列表
Disable(禁止) 用于指明是否要由xinetd来管理服务
socket_type(套接字类型) 指明了套接字的类型,如stream(流式类型)、dgram(数
据报类型)等
Protocol(协议) 指明了所使用的协议类型,如tcp、udp等,从保存在文件
/etc/protocols内的有效协议列表中选择
Wait(等待) 用于表明wait(等待)或nowait(不等待)标志的标记。
仅适用于dgram(数据报)套接字类型
Wait(等待)标志表明在执行请求/应答交换时,需要等
待一段时间;nowait(不等待)标志表明请求不会等待应答
User(用户) 如“root”超级用户(root)和“nobody”用户,指明了用户
在访问服务时的许可权限水平
Server(服务器) 给出了要执行的服务器程序的完整路径名称
Server_args(服务器参数) 服务器程序的启动名称,以及在server_path中指定的选项。
XXXXinetd
inetd 的安全策略
inetdinetd
运行的可用的端口监督程序。将服务的 disable 参数设置为值 yes,禁止所有服务。
允许更改缺省的
允许更改缺省的 xinetd
允许更改缺省的允许更改缺省的
的安全策略
的安全策略的安全策略
在 Turbolinux 中,高安全选项的缺省值针对安全设置作了最优配置。关闭所有没有必要
xinetd 设置(重新启动)
xinetdxinetd
设置(重新启动)
设置(重新启动)设置(重新启动)
14
在父目录 xinetd.d/下对配置文件所作的更改和编辑,不会使新设置自动生效。要想让这
些更改发挥作用,必须发送信号给当前正在运行的 xinetd,或 者 重新启动或重新加载 xinetd。
要先执行该任务,可执行下述命令中的任何一个:
# killall -HUP xinetd
# /etc/rc.d/init.d/xinetd restart
# /etc/rc.d/init.d/xinetd reload
配置示例
配置示例
配置示例配置示例
在下面的示例中,给出了使用命令 telnet 设置服务许可时所需要的步骤。在该示例中,
假设存在一个单独的客户端--主机连接,服务器主机的 IP 地址是 192.168.1.52,客户端的 IP
地址是 192.168.1.53,其中 telnet 用于提供远程访问。
1. 使用恰当的文本编辑器,打开文件/etc/xinetd.d/telnet,并找到下面这行内容:
disable = yes
2. 删除或覆盖单词 yes,将其更改为 no,这时该行看上去如下:
disable = no
3. 输入下述命令,使在前面的步骤中所作的更改生效:
# /etc/rc.d/init.d/xinetd restart
4. 在文件/etc/host.allow 的末端插入下行内容:
in.telnetd: 192.168.1.53
访问控制会查询文件/etc/host.allow 以了解服务许可情况。telnet:192.168.1.53 这行内容
表明该主机已被授予了使用 telnet 服务的许可。
关于访问控制的详细解释,请参阅“访问控制”。
启动脚本的命令行选项
启动脚本的命令行选项
启动脚本的命令行选项启动脚本的命令行选项
启动脚本/etc/rc.d/init.d/xinetd 包含下述命令行选项:
命令行功能
命令行功能
命令行功能命令行功能
/etc/rc.d/init.d/xinetd start 启动 xinetd
/etc/rc.d/init.d/xinetd stop 停止 xinetd
/etc/rc.d/init.d/xinetd status 显示 xinetd 的状态
/etc/rc.d/init.d/xinetd restart 重新启动 xinetd
/etc/rc.d/init.d/xinetd reload 重新加载 xinetd
正如你在检查启动脚本时所见到的那样,重新启动“ restart”和重新加载“reload”所 执
行的操作相同。
15
XXXXinetd
inetd 操作确认
inetdinetd
的状态:
那么或是因为 xinetd 的运行不正常,或是根本就没安装 xinetd。你可以使用命令 serviceboard
来证实 xinetd 是否正在运行。如果在 xinetd 条目上有“打勾”的标志,就表明它正在运行。
请参见 “Serviceconfig - turboservice”。
操作确认
操作确认操作确认
在 Turbolinux 中,缺省时,xinetd 被设置为运行。按下述方式使用命令 ps 即可检查 xinetd
ps ax | grep xinetd
400 ? S 15:20 0:00 xinetd
当 xinetd 正常运行时,会出现与上面相类似的信息。如果你未能见到上面所示的信息,
要想重新启动 xinetd,可键入下述命令:
/etc/rc.d/init.d/xinetd restart
访问控制
访问控制
访问控制访问控制
当 xinetd 收到来自客户端的请求时,也会将对服务的访问置于其控制之下。这类访问控
制功能以前是由 TCP_Wrapper(或 tcpd)来管理的,但在目前,xinetd 也能管理这些功能。
当 xinetd 收到来自客户端的服务请求时,它将读取服务许可文件/etc/hosts.allow,以及服务
禁止文件/etc/hosts.deny。
文件/etc/hosts.allow 的格式如下:
[daemon_list] : [host_list] : [command]
其中:
[daemon_list] 列出了将被授予服务许可权限的端口监督程序。可以使用逗号将多个名称分隔开来。
[host_list] 列出了将被授予服务许可权限的主机名称或 IP 地址。可以使用逗号将多个名称分隔开
来。还可以指定域和网络,或 采用单独方式,或使用通配符。允许使用相同的域和网络
名称。可以将所有这些名称组合在一个列表中。
[command] 与由[daemon_list]调用的服务器程序名不同,当运行 xinetd 命令时,你可以指定绝对路
径名。
文件/etc/hosts.deny 的格式与上面所给出的文件/etc/hosts.allow 的格式完全相同。
[daemon_list] : [host_list] : [command]
16
[daemon_list] 指定了你打算禁止服务的每个端口监督程序的名称。可以制定多个名称,中 间用逗号
将它们分隔开来。
[host_list] 列出了将被禁止服务许可权限的主机名称或 IP 地址。可以使用逗号将多个名称分隔
开来。
你可以指定多个名称或 IP 地址,中间用逗号分隔开来。
还可以指定域和网络,或 采用单独方式,或使用通配符。允许使用相同的域和网络名
称。
可以将所有这些名称组合在一个列表中。
指出你打算禁止服务的每个主机的名称或 IP 地址。
[command] 与由[daemon_list]调用的服务器程序名不同,当运行 xinetd 命令时,你可以指定绝对
路径名。
在[host_list]后面,可跟随下述描述符:
ALL 与所有的匹配
LOCAL 与名称中不包含点符号“.”的主机匹配
UNKNOWN 与来自不明确或未知用户名或主机名的访问匹配
PARANOID 当主机名和 IP 地址不同时,匹配
EXCEPT 例外
.domain 与主机名中包含.domain 的主机匹配(例如,ns.exampl e1.com 是服务器
name.domainname,邮件服务器是 mail.example1.com)。
192.168. 与地址为 192.168.x.x 的主机匹配
192.168.0.0 225.225.255.240
对于带有子网掩码 255.255.255.240 的 IP 地址 192.168.0.0 来说,与位于
地址范围 192.168.0.x 内的所有主机匹配,其中 x 的取值范围为 0~15。
17
访问控制配置文件的缺省情形
访问控制配置文件的缺省情形
访问控制配置文件的缺省情形访问控制配置文件的缺省情形
xinetd 超级服务器会按下述顺序解释数据。
1. 如果在文件 hosts.allow 中允许主机访问,就会为该主机授予许可权限。
2. 如果在文件 hosts.deny 中禁止主机访问,就会禁止该主机的许可权限。
3. 如果未指明允许或禁止主机访问,那么就会为该主机授予许可权限。
示示示示例
例
例例
要想查看配置文件/etc/hosts.allow 中的缺省设置,可键入下述命令。
# less /etc/hosts.allow
# hosts.allow
# This file describes the names of hosts which
# are allowed to use the local INET services,
# as decided by the ‘/usr/sbin/tcpd’ server.
#
ALL : 127.0.0.1 :
内容“ALL:127.0.0.1:”表明该主机已被授予了访问所有服务的许可权限。
要想查看配置文件/etc/hosts.deny 中的缺省设置,可键入下述命令。
# less /etc/hosts.deny
# hosts.deny
# This file lists the names of hosts which
# are *not* allowed to use the local INET services,
# as decided by the ‘/usr/sbin/tcpd’ server.
ALL : ALL
内容“ALL: ALL”表明,对于未在文件/etc/hosts.deny 中指出的所有程序来说,对它们
的访问均将被禁止。这可为系统安全提供额外的保护措施。
配置示例
配置示例
配置示例配置示例
对于文件/etc/hosts.allow 来说,下面介绍了一些配置示例。
在这样一种情形下,服务器的地址是 192.168.0.2,而且系统管理员希望为地址为
18
192.168.0.3 的客户端授予所有的许可权限,可以对文件/etc/hosts.allow 进行如下设置。
ALL: 192.168.0.3 : allow
对于主机 192.168.0.x,使用这里给出的设置,可 通 过文件/etc/hosts.allow,授予 ftp 许可
权限。
in.proftpd: 192.168.0. : allow
安装和升级软件包
安装和升级软件包
安装和升级软件包安装和升级软件包
Turbolinux 采用了 RPM 作为其软件包管理器。它提供了一个有效的管理环境,在此环
境中,可以安装、卸载、升级、或检查软件包。它还能对软件包之间存在的相关性进行管理。
无论你采用何种方式安装软件包,应清楚,某些软件包的安装要求具有超级用户的权限。
软件包保存在 Turbolinux Install 光盘的 turbo/RPMS/目录下。
使用
使用 rpm
使用使用
-I 安装
-U 升级
-e 删除
-h 用混编字符“#”标志显示进展状态
-v 详细显示(与-h 一起使用可获得更好的显示效果)
-q 查询当前已安装了哪些软件包
rpm
rpmrpm
可以按下述格式使用 rpm 命令:
$ rpm [options] [RPM package name]
常使用的选项有:
下面给出了使用 sendmail-8.9.3-17.i386.rpm 的各种情况。
要想安装软件包,如 “Sendmail”软件包,可 在 sendmail-8.9.3-17.i386.rpm 所处的目录
下运行下述命令。
# rpm -ivh sendmail-8.9.3-17.i386.rpm
要想升级软件包,如“Sendmail”软件包,可在 sendmail-8.9.3-17.i386.rpm 所处的目录
下运行下述命令。
19
Loading...