Debian-Linux中级培训

《Debian-Linux中级培训》由会员分享，可在线阅读，更多相关《Debian-Linux中级培训（7页珍藏版）》请在装配图网上搜索。

1、美克天津区企划部信息中心debian linux应用培训文档 Debian Linux中级培训提纲：u squid安装和配置u danted安装和配置u socks安装和配置u webmin安装和配置u 内核升级（只做了解）u iptables防火墙（只做了解）squid安装和配置Squid是一个缓存internet数据的一个软件，它接收用户的下载申请，并自动处理所下载的数据。也就是说，当一个用户象要下载一个主页时，它向Squid发出一个申请，要Squid替它下载，然后Squid连接所申请网站并请求该主页，接着把该主页传给用户同时保留一个备份，当别的用户申请同样的页面时，Squid把保存的备份

2、立即传给用户，使用户觉得速度相当快。目前，Squid可以代理HTTP,FTP,GOPHER,SSL和WAIS协议，暂不能代理POP,NNTP等协议。不过，已经有人开始修改Squid，相信不久的将来，Squid能够代理这些协议。Squid能够缓存任何数据吗？不是的。象缓存信用卡帐号、可以远方执行的scripts、经常变换的主页等是不合适的也是不安全的。Squid可以自动的进行处理，你也可以根据自己的需要设置Squid，使之过滤掉你不想要的东西。Squid可以工作在很多的操作系统中， AIX,DigitalUnix,FreeBSD,HP-UX,Irix,Linux,NetBSD,Nextstep,

3、SCO,Solaris，OS/2等，也有不少人在其他操作系统中重新编译过Squid。Squid对硬件的要求是内存一定要大，不应小于128M，硬盘转速越快越好，最好使用服务器专用SCSI 硬盘，处理器要求不高，400MH以上既可。与wingate不同的是，wingate代理的协议更加多，包括squid没有的pop、nntp；wingate带有口令验证功能，但squid本身不带任何认证程序。安装：运行apt-get install squid配置/etc/squid.conf文件#天津区squid配置文件，用于培训时讲解。许多配置语句为系统默认，特殊设置有文字说明。modify by 陈政#Def

4、ault:# http_port 3128 /端口号icp_port 0maximum_icp_query_timeout 10hierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin ?no_cache deny QUERY cache_mem 8 MB /设定Squid占用的物理内存，根据经验，cache_mem的大小不应超过你的服务器物理内存的三分之一，否则将会影响机器的总体性能cache_swap_low 90cache_swap_high 95maximum_object_size 4096 KB /设定Squid可以接收

5、的最大对象的大小。Squid缺省值为4M，可以根据自己的需要进行设定minimum_object_size 4 KBmaximum_object_size_in_memory 8 KB#Default: ipcache_size 1024 ipcache_low 90 ipcache_high 95 cache_replacement_policy lru cache_dir ufs /var/spool/squid 100 16 256 cache_access_log /var/log/squid/access.log /上网日志 cache_log /var/log/squid/cach

6、e.log pid_filename /var/run/squid.pid /进程标识，管理员可以通过查看此文件了解当前执行的squid进程.# client_netmask 255.255.255.0 /如果启用该语句，则在日志中只记录用户的IP段，如192.0.3.0、192.0.5.0# dns_defnames offauthenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd /启用ncsa_auth认证机制，但首先要touch passwd#Default: authenticate_children 5#Default

7、: authenticate_ip_ttl 360 seconds#Default: authenticate_ip_ttl_is_strict on#Default: peer_connect_timeout 30 seconds#Default: half_closed_clients onacl password proxy_auth REQUIREDacl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl limitrate time 08:00-17:30 /下载速度限制时间段为：早8点到晚17：30acl localh

8、ost src 127.0.0.1/255.255.255.255acl ipaccess src 192.0.3.51 192.0.5.26 允许不需口令验证的IP地址列表acl limitconn maxconn 8 /限制每个用户最大连接数为8acl SSL_ports port 443 563acl Safe_ports port 80# httpacl Safe_ports port 21# ftpacl Safe_ports port 443 563# https, snewsacl Safe_ports port 70# gopheracl Safe_ports port 210

9、# waisacl Safe_ports port 1025-65535# unregistered portsacl Safe_ports port 280# http-mgmtacl Safe_ports port 488# gss-httpacl Safe_ports port 591# filemakeracl Safe_ports port 777# multiling httpacl Safe_ports port 901# SWATacl purge method PURGEacl CONNECT method CONNECT/定义安全safe_ports访问列表/使用口令认证用

10、户http_access allow ipaccesshttp_access allow passwordhttp_access allow manager localhosthttp_access allow purge localhost# Only allow purge requests from localhosthttp_access deny limitconn managerhttp_access deny purgehttp_access deny !Safe_ports /拒绝访问端口为safe_ports外的端口访问。# Deny CONNECT to other tha

11、n SSL portshttp_access deny CONNECT !SSL_portshttp_access allow localhosthttp_access deny allicp_access allow allvisible_hostname mk5proxydelay_pools 1delay_class 1 1delay_access 1 allow all limitratedelay_parameters 1 32000/32000 /限制流量为32K默认时，Squid本身不带任何认证程序，但是可以通过外部认证程序来实现用户认证。一般有以下的认证程序：LDAP认证、SM

12、B认证、基于mysql的认证、基于sock5的密码认证和基于Radius的认证。我们选用ncsa_auth认证。在/usr/etc下 执行touch passwd然后重新启动squid，启用ncsa_auth认证，用ps -A查看是否已经启用在/etc/init.d下 运行 ./squid start 或./squid stopdanted安装和配置安装：运行apt-setup install dante-server配置/etc/danted.conf文件# $Id: sockd.conf,v 1.41 2001/12/12 13:56:41 karls Exp $#天津区squid配置文件

13、，用于培训时讲解。许多配置语句为系统默认，特殊设置有文字说明。modify by 陈政logoutput: stderrinternal: eth0 port = 1080/指定内网网卡（局域网）和端口号external: eth0 /指定外网网卡，如eth1接adsl;我们天津区danted服务器为1块网卡，只有eth0method: username none #rfc931/无用户名验证user.privileged: proxyuser.notprivileged: nobodyclient pass from: 192.0.5.0/24 port 1-65535 to: 0.0.0.

14、0/0 log:connect disconnectclient pass from: 192.0.3.0/24 port 1-65535 to: 0.0.0.0/0 log:connect disconnectblock from: 0.0.0.0/0 to: 127.0.0.0/8log: connect errorblock from: 0.0.0.0/0 to: 172.16.0.0/12libwrap: spawn finger %alog: connect errorpass from: 0.0.0.0/0 to: 192.0.5.0/24command: bindreply ud

15、preplylog: connect errorpass from: 0.0.0.0/0 to: 192.0.3.0/24 command: bindreply udpreply log: connect error/允许网段pass from: 192.0.5.0/24 to: 0.0.0.0/0 port = 25protocol: tcp pass from: 192.0.3.0/24 to: 0.0.0.0/0 port = 25 protocol: tcp/打开允许网段的25端口，用于pop3pass from: 192.0.5.0/24 to: 0.0.0.0/0 port = 1

16、10 protocol: tcp pass from: 192.0.3.0/24 to: 0.0.0.0/0 port = 110 protocol: tcp/打开允许网段的110端口，用于smtpblock from: 0.0.0.0/0 to: 0.0.0.0/0log: connect errorsocks5安装和配置安装：1. 将下载来的socks5-v1.0r8.tar.gz拷贝到/tmp目录下#cp socks5-v1.0r8.tar.gz /tmp2. 解开压缩包#tar xvzf socks5-v1.0r8.tar.gz3. 进入socks5-v1.0r8开始编译#cd soc

17、ks5-v1.0r8#./configure#make#make installset SOCKS5_MAXCHILD 3set SOCKS5_NOIDENTset SOCKS5_TIMEOUT 6 /在一个客户会话空闲超过6分钟后，该会话将被断开interface 192.168.11.10:1080 - eth1permit - - 192.168.11. - - -deny - - - - - - -4. 配置sock5.conf文件5. 经常会出现死进程，导致服务失败。出现这种情况，可以转换成 inetd 的方式: 使用 inetd, 则编辑 /etc/inetd.conf ，加入so

18、cks stream tcp nowait daemon /usr/local/bin/socks5 socks5 -i这样，闲时socks在后台运行，当客户端使用foxmail收发邮件时，系统才启动socks进程说明：美克美家天津店linux服务器2块网卡，使用danted做代理不行，故选用socks5。Webmin安装和使用安装：apt-get install webmin-squid 使用webmin管理squid举一反三，可用apt-get install webmin-mysql webmin-apache，用webmin来管理mysql、apache访问方法：https:/192.

19、0.3.37:10000详细使用方法请参看文档：WebminUnix上的GUI管理工具_1WebminUnix上的GUI管理工具_2升级内核：为什么要升级内核？ 新内核提供更好的硬件支持能力。 新内核有某些特殊的优点，例如，对多处理器（SMP）更好的支持， 或者是支持USB。这些特性已经被加入到2.4.x内核中。 新内核修正了一些BUG。 你自己定制的内核去除了多余的元素，因此它更快，更稳定。我们目前的使用情况是因为要用iptables防火墙，故需升级内核至2.4.20方法：拷贝内核文件linux-2.4.20.tar.gz至/usr/src下，解压缩：tar xzf linux-2.4.20

20、.tar.gz在编译内核前，需安装gcc和ncurses，分别是编译内核和make menuconfig图形界面工具apt-get install gcc（note: 我建议大家使用dselect，因为你不能记住和知道所有的事情，包括安装/未安装/包依赖，dselect都可以帮你完成，并且可以快速查找，使用方法是用“/”）dselect详细用法请参看dselect用法小结apt-get install ncurses?进入/usr/src/linux-2.4.20运行 make menuconfig选择：用“空格”选中。*为永久加载模块 M为可以手动加载（note: 在这里我们使用*选项可以使

21、相应的功能成为kernel的一部分，这通常会使kernel变大，使用M可以使其成为一个可加载模块，在需要时动态的加载到kernel中；当某个部分永远也不会变化，如：ext2文件系统，主板芯片等，就编到kernel里好了；有些部分不能确定将来是否使用或更换，如：ntfs文件系统，网卡等，可以使用模块方式，以减小kernel的大小。）运行 make dep检查依赖性运行 make install 安装运行 make modules编译模块运行 make modules_install升级完毕后，删除 make mrproper、make clean如果内核升级未成功，请从处重复操作，再试。（not

22、e: 编译需要某些头文件，一般都在lib*-dev里，这里还是建议使用dselect，选择debian提供的kernel源代码包，dselecl会提示安装相应的包，包括gcc和相关的dev包，如果编译过程出错与此有关，仔细看错误信息，会有相关的提示。）查看lilo.conf的配置，运行一下lilo（note: 如果你没有同时安装grub，这个步骤会包含在make install的最后）比较详细的安装步骤，请参看文档编译你自己的Linux内核iptables防火墙在升级内核到2.4.20，用iptabales L n查看iptables是否已经正确编译到内核中。iptables的功能十分的强大 例如IP转发和伪装 防御DoS，扫描和嗅探试的攻击等等。Linux 内核中内置的INPUT,OUTPUT,FORWARD规则在新的iptables中，任何一个包仅仅只在这三个规则中的任何一个上应用，或者被INPUT规则击中，或者被FORWARD规则或者OUTPUT规则击中，不象在ipchains中任何一个包如果是穿过这台防火墙总要同时击中三 个规则。2022-7-13第7页 共7页 第 7页 共7页