Ubuntu服务器使用指南

《Ubuntu服务器使用指南》由会员分享，可在线阅读，更多相关《Ubuntu服务器使用指南（87页珍藏版）》请在装配图网上搜索。

1、Ubuntu 服务器指南 欢迎阅读 Ubuntu 服务器指南！ Ubuntu 服务器指南 涉及了在您的 Ubuntu 系统中如何安装和配备满足您需要的不同服务器的有关信息。它是一种循序渐进、面向任务的配备和定制您系统的指南。本手册讨论的主题如下所示： o 网络配备 Apache2 的配备 数据库 Windows 联网 本手册重要分为如下几块： o 安装 包管理 联网 Windows 联网 本指南假定您已经对您的 Ubuntu 系统有个基本的理解。如果您需要安装 Ubuntu 的具体协助，将参照 Ubuntu 安装指南。 本手册的 HTML 和 PDF 版本可以在在线获得。 您可以在上购买到本指

2、南的纸质品，只需支付打印和邮寄费用。 安装 本章提供了安装 Ubuntu 6.06 LTS Server Edition（服务器版）的迅速入门。更多细节阐明，请参见 Ubuntu 安装指南。 准备安装 准备安装，本部分内容阐明在开始安装之前要考虑的各个方面。 系统规定 Ubuntu 6.06 LTS Server Edition （服务器版）支持三种重要的体系架构： Intel x86、AMD64 和 PowerPC。下表列出了被推荐硬件明细表。您可以根据需要使用比这更少的（硬件）进行管理。然而，大多数顾客不应当忽视这些建议，否则风险自负。表 最小建议配备2-1 安装类型RAM硬盘空间 服务器

3、64 MB500 MB Ubuntu 6.06 LTS Server Edition （服务器版）的默认自述文档已经在下面列出了。固然，安装的尺寸大小极大程序上取决于您在安装过程中安装服务的多少。对于大多数管理员来说，默认的服务对于服务器一般的使用已经足够了。 服务器 这是一种小型服务器服务列表，它为多种服务器应用程序提供了一种通用基本。它是最低限度的并被设计成可以在其上添加想要的服务，如文献/打印服务、 web 主机、邮件主机等。要满足这些服务至少需要 500 MB 的磁盘空间，但考虑添加更多的空间是要取决于在您服务器上您想要提供的服务。 记住这些尺寸并不涉及其她的素材如顾客文献、邮件、日记

4、和数据。当为您自己的文献和数据考虑空间时最佳能留足。 备份 o 在 您开始之前，请保证备份了您目前系统上的每个文献。如果第一次时已有一种操作系统安装在您的计算机上，那么最合适的措施就是把您的磁盘重新分区，为 Ubuntu 留出空间。无论哪次对您的磁盘进行分区您都应当做好丢失磁盘上所有东西的准备，由于您也许会误操作或者在分区过程中出错，如系统掉电等。在安装中所使用的 程序是相称可靠的，大多数已经用了几年，但它们执行的也是破坏性的操作，一种操作出错也许会把您有价值的数据丢失掉。 如果您是想把电脑做成多重引导的系统，请先拟定您手头上有电脑里已经存在的这些操作系统的安装介质。特别是当您把启动盘重新分区

5、以後，您也许会发现必须重新安装原有操作系统的启动引导程序，某些状况下，还得重新安装该操作系统并恢复受影响分区上的文献。 从 CD 安装 将您的安装 CD 插入 您的 CD-ROM 设备并重启计算机。当从 CD-ROM 重启时安装系统将立即开始。一旦初始化之後，您的第一种安装屏幕将浮现。 此时，阅读屏幕上的文字。您也许想看看安装程序提供的协助屏。如果您想这样做的话，请按 F1 键。 要执行缺省的服务器安装程序，选择 “安装到硬盘” 并按 回车 键。安装过程将开始。简朴地根据屏幕上的批示，您的 Ubuntu 系统将被安装。 或者，您要安装一种 LAMP 服务器 (Linux, Apache, My

6、SQL, PHP/Perl/Python)，选择 “安装 LAMP 服务器”，并根据批示进行安装。 包管理 Ubuntu 提供一套全面的包管理系统用于软件的安装、升级、配备和卸载。除了让您 Ubuntu 计算机可以访问组织好的超过 17,000 个软件包的软件库之外，包管理工具还可以解决依赖关系并提供软件更新检查。 某些工具可以和 Ubuntu 包管理系统进行交互，从便于系统管理员做自动化解决的简朴命令行工具到便于 Ubuntu 新手使用的简朴图形界面。 简介 Ubuntu的包管理系统是从Debian GNU/Linux 发行版中洐生出来的。包文献涉及在您 Ubuntu 系统中实现特定功能或软

7、件所必需的文献、元数据和指令。 Debian 包文献一般用 .deb 作後缀，并且位于建立在不同介质上由包构成的 软件库 中，这些介质涉及 CD-ROM 光盘和网站。包一般是预编译的二进制形式，因此安装速度快并且软件也无需编译。 许多复杂的包使用 依赖包 这一概念，依赖包是主包为实现完整功能而规定的附加包。例如，语音合成包 Festival 依赖 festvox-kalpc16k 包，该依赖包提供被应用程序使用的众多声音之一。为了能使 Festival 正常运营，所有依赖包都必须与 Festival 主包同步安装。Ubuntu 软件管理工具将会自动完毕这一切。 Apt-Get apt-get

8、命令是一种强大的命令行工具，用于同 Ubuntu 的 Advanced Packaging Tool (APT) 一起执行诸如安装新软件包、升级已有软件包、更新包列表索引，甚至是升级整个 Ubuntu 系统等功能。 作为一种简朴的命令行工具，apt-get 对于服务器管理员来说比 Ubuntu 中的其她软件包管理工具有着相称多的长处。这些长处涉及便于在简朴终端连接 (SSH) 中使用，同步可以用于系统管理脚本中，以便能被cron 动作筹划工具自动运营。 apt-get 工具的某些常用用法示例： 有关 APT 用法的更多信息，可阅读全面的或输入： apt-get help Aptitude Ap

9、titude 是一种菜单驱动，基于文本的 Advanced Packaging Tool (APT) 系统前端。包管理的许多常用功能，如安装，卸载和升级，可以在Aptitude 中单键执行命令，它一般是小写字母。 Aptitude 最合用于非图形的终端环境，保证命令核心字的合适功能。您可以作为一种普遍顾客在终端提示符後用如下命令开始运营 Aptitude： sudo aptitude 当 Aptitude 开始之後，你将看在屏幕顶部的一种菜单条，其下有两个窗，顶窗涉及包的类别，如 新软件包 和 未安装软件包 。底窗涉及包和包类别的有关信息。 使用 Aptitude 作包管理相对直观，顾客界面便

10、于执行常用任务。下面是在 Aptitude 中进行包管理时常用用法如下： o 安 装软件包：要安装包，通过未安装软件包包类别找到该软件包，如通过键盘箭头键和 ENTER 键定位并高亮你想安装的软件包。在高亮你要安装的软件包之後，将其标示为安装。目前按 g 键显示软件包的操作提示。再按 g 键，您将被提示要成为 root 顾客以完毕安装。按 ENTER 键将显示 Password: 提示。输入您的顾客密码成为 root 顾客。最後，再一次按 g 键，您将被提示下载软件包。在Continue 提示上按 ENTER 键，开始下载和安装软件包。 卸 载软件包：要卸载软件包，通过已安装软件包包类别找到该

11、软件包，如通过键盘箭头键和 ENTER 键定位并高亮你想卸载的软件包。在高亮你要卸载的软件包之後，按 - 键，文献包条目将变成 pink，标示其为卸载。目前按 g 键显示软件包的操作提示。再按 g 键，您将被提示要成为 root 顾客以完毕卸载。按 ENTER 键将显示 Password: 提示。输入您的顾客密码成为 root 顾客。最後，再一次按 g 键，您将被提示下载软件包。在Continue 提示上按 ENTER 键，开始卸载软件包。 更新软件包索引：要更新软件包索引，简朴按 u 您将被提示要成为 root 顾客以完毕更新。按 ENTER 键将显示 Password: 提示，输入您的顾客

12、密码成为 root 顾客。开始更新软件包索引，当浮现下载对话框时在 OK 提示上按 ENTER 键以结束更新过程。 升 级软件包：要升级软件包，如上所述更新软件包索引，然後按U 键标示所有能升级的软件包。目前按 g 键显示软件包的操作提示。再按 g 键，您将被提示要成为 root 顾客以完毕安装。按 ENTER 键将显示 Password: 提示。输入您的顾客密码成为 root 顾客。最後，再一次按 g 键，您将被提示下载软件包。在Continue 提示上按 ENTER 键，开始升级软件包。 当实际查看软件时列出软件包目前状态，在顶窗软件包列表中显示信息的第一列使用下列核心字来描述软件包状态：

13、 o i: 安装软件包 c: 软件包没有安装，但在系统中有软件包的残留配备 p: 从系统彻底删除 v: 虚拟软件包 B: 已损坏的软件包 u: 解压文献，但尚未配备软件包 C: 半配备 - 配备失败需要修复 H: 半安装 - 卸载失败需要修复 要退出 Aptitude，只需简朴按 q 键并确认您想退出即可。在 Aptitude 菜单中按 F10 键可以列出其她许多功能。 配备 Advanced Packaging Tool (APT) 系统软件库的配备被保存在 /etc/apt/sources.list 文献中。这儿有个该文献的示例， file:/usr/share/ubuntu-docs/u

14、buntu/serverguide/sample/sources.list 这里 是一种典型的 /etc/apt/sources.list 文献范例。 您可以编辑该文献来使软件库生效或失效。举个例子，要不想无论何时在发生文献包操作都会引起规定插入 Ubuntu CD-ROM ，只需要简朴地将在文献顶部的 CD-ROM 相应行注释掉即可： # no more prompting for CD-ROM please# deb cdrom:Ubuntu 6.06 _Dapper Drake_ - Release i386 (0329.1)/ dapper main restricted 其她软件库

15、除了可以使用官方支持的 Ubuntu 软件包库之外，还存在拥有几千个潜在软件包的由其他社区维护的软件库。这些软件库中最流行的两个是 Universe 和 Multiverse 软件库。这些软件库并不被 Ubuntu 官方支持，这就是它们为什么在缺省时不能的因素，但它们提供的包一般是可以在您的 Ubuntu 计算机上安全使用的。 在 Multiverse 软件库中的包一般有许可证的问题，这使得它们不能和自由操作系统一起分发，它们在您所在的地区也许是违法的。 建议不要在 Universe 或 Multiverse 软件库中涉及官方支持的软件包。特别是在升级这些包时也许会不安全。 许多其她软件包源也

16、是可用的，有时甚至只提供一种软件包，这种状况重要发生在由单个应用程序的开发人员所提供软件包源上。然而当您在使用非原则软件 包源时您应当非常小心谨慎，在执行任何安装之前仔细考察源和软件包，由于有些软件包源和其中的软件包也许会使您的系统在某些方面运营不稳定或不正常。 要使 Universe 和 Multiverse 库可用，编辑/etc/apt/sources.list 文献并将去掉有关行的注释： # We want Multiverse and Universe repositories, pleasedeb deb-src 3.5.1. 引用 联网 网络是由两个或两个以上的设备通过物理线缆或无

17、线连接而成并在连接设备之间共享和分发信息。这些设备涉及计算机系统、打印机或用有线或无线连接起来的其他有关设备。 Ubuntu 服务器指南的这部分提供与联网有关的一般和特定信息，涉及网络概念的简介以及对常用网络合同及服务器应用程序的具体讨论。 网络配备 Ubuntu 提供了许多图形化工具来配制您的网络设备。本文合用于服务器管理员并聚焦在命令行中管理您的网络。 以太网4.1.1. 大多数以太网配备都集中在单个文献 /etc/network/interfaces 中。如果您没有以太网设备，那么在该文献中将只浮现环回口，该文献看上去类似这样： # This file describes the net

18、work interfaces available on your system# and how to activate them. For more information, see interfaces(5).# The loopback network interfaceauto loiface lo inet loopbackaddress 127.0.0.1netmask 255.0.0.0如果您只有一种以太网设备 eth0，被配备成从 DHCP 服务器得到设立，并且在引导时自动激活，那么只需要再添加两行： auto eth0iface eth0 inet dhcp第一行阐明 et

19、h0 将会在您启动时自动激活。第二行阐明该接口 (“iface”) eth0 将有得到一种 IPv4 地址空间 (如果是一种 IPv6 的设备将须将 “inet” 用 “inet6” 替代) 并且它将自动从 DHCP 中自动获得它的配备。假定您的网络和 DHCP 服务都已经被对的配备，该机的网络将不需要更多的配备。DHCP 服务器将提供默认网关 (通过 route 命令来实现) 、设备的 IP 地址 (通过 ifconfig 命令来实现)以及网络使用的 DNS 服务器 (在 /etc/resolv.conf 文献中实现)。 要把您的以太网设备配备成静态 IP 地址和自定义配备的话，则规定更多的

20、信息。假设您想指定 IP 地址 192.168.0.2 给设备 eth1，其掩码是 255.255.255.0。您的默认网关的 IP 地址是 192.168.0.1。您可以在 /etc/network/interfaces 中输入类似下面的语句： iface eth1 inet staticaddress 192.168.0.2netmask 255.255.255.0gateway 192.168.0.1在这个例子中，您将需要在 /etc/resolv.conf 中手工指定您的DNS服务器，看起来如下： search nameserver 192.168.0.1nameserver 4.2.

21、2.2search 语句在试图解析网络名时把 添到主机名查询中。举个例子，如果您的网络域名是 并且您试图去 ping 主机 “mybox”，DNS 查询将在解析时改为 “”。nameserver 语句指定用于将主机名解析成 IP 地址的的 DNS 服务器。如果您使用自己的名称服务器，在这里输入它。否则询问您的 Internet 服务供应商要使用的主、辅 DNS 服务器，并把它们如上所示输入到 /etc/resolv.conf 中。 配备更多的接口是也许的，涉及拨号的 PPP 接口、IPv6 网络、VPN 设备等。更多信息和支持选项请参照 man 5 interfaces。记住 ifup/ifd

22、own 脚本使用的/etc/network/interfaces 是比其她某些 Linux 发行版更高档的配备模式。老式的低档工具如ifconfig、route 和 dhclient 也为了 ad hoc 配备对您来说也是可用的。 管理 DNS 记录4.1.2. 本部分阐明如何配备用来将IP地址解析成主机名或相反功能的名称服务，而不是说如何将整个系统配备成一种名称服务器。 要管理 DNS 条目，您可以在 /etc/resolv.conf 文献中添加、编辑或删除 DNS 名称服务器。一种 范例文献 在下面给出： search comnameserver 204.11.126.131nameser

23、ver 64.125.134.133nameserver 64.125.134.132nameserver 208.185.179.218search 核心字指字为未完毕主机名添加的字符串，在这里我们使用com。因此当我们运营：ping ubuntu 时它被理解成 ping 。 nameserver 核心字指定名称服务器的 IP 地址，它将被用来解析 IP 地址或主机名。该文献可以有多种名称服务器记录。名称服务器将按相似顺序进行网络查询。 如果 DNS 服务器名称是通过 DHCP 或 PPPOE 动态取回的(从您 ISP 取回)，那么不要在该文献中添加名称服务器记录。它将被自动更新。 管理主机

24、4.1.3. 要管理主机，您可以在 /etc/hosts 文献中添加、编辑或删除主机。该文献涉及 IP 地址和相相应的主机名。当您的系统要解析一种主机到 IP 地址或从一种 IP 地址获取主机名时，它将在使用名称服务器之前参照 /etc/hosts 文献。如果该 IP 地址已经在 /etc/hosts 文献中被列出，那么将不再使用名称服务器。这一动作可以通过编辑 /etc/nsswitch.conf 来变化，但是後果自负。 如果您网络所涉及计算机的 IP 地址没有在 DNS 中列出，建议您将它们加入到 /etc/hosts 文献中。 TCP/IP 传播控制合同和网际合同 (TCP/IP) 是在

25、 20世纪70年代被美国国防部高档研究规划局 (DARPA)作为在不同类型计算机及计算机网络之间的通信手段而被开发的一种原则合同簇。TCP/IP 是 Internet 的驱动力，因此它是全球最流行的网络合同簇。 TCP/IP 简介4.2.1. TCP/IP 的两个合同组件解决计算机网络的不同方面。网际合同，TCP/IP 中的 IP 是一种连接合同，只解决使用 IP 数据报 作为网络信息基本单元的网络包路由。IP 数据报由报头和其後的消息构成。传播控制合同 是 TCP/IP 中的 TCP，可以使网络主机之间建立用于互换数据流的连接。TCP 也保证连接之间的数据传送以及其在网络主机上的接受顺序与其

26、从另一台网络主机上的发送顺序一致。 TCP/IP 配备4.2.2. TCP/IP 合同配备由必须设立的几种元素构成，可以通过编辑相应的配备文献或配备方案如动态主机配备合同 (DHCP) 来设立，它可以配备成提供合适的 TCP/IP 配备来自动设立网络客户机。这些配备值必须对的设立，以便于您的 Ubuntu 系统进行相应网络操作。 TCP/IP 常用配备元素及其作用如下所示： o IP 地址 IP 地址是唯一标记字符串，它由四部分由点号分隔的，范畴从 0 到 255 的十进制数构成。 每部分由8个比特表达，整个地址总长为32个比特。这种格式被称为 dotted quad notation。 掩

27、码 子网掩码 (或简称掩码) 是一种局部位掩码，或用指定的 子网掩码 来将IP 地址中的网络分隔出来的一组标记。举个例子，在 C 类网络中，原则的掩码是 255.255.255.0 屏蔽了 IP 地址的前三个字节，并容许 IP 地址的最後一种字节指定子网中的主机。 网 络地址 网络地址表达涉及IP 地址网络部分的字节。 例如， 一种 A 类网络的主机 12.128.1.2 将使用 12.0.0.0 作为网络地址，使用 12 来表达 IP 地址的第一种字节 (网络部分)， 馀下的三个为 0 的字节表达也许的主机值的。网络主机使用象 192.168.1.100 这样非常普遍的不可路由的私有 IP

28、地址将使用 192.168.1.0 网络地址，用前三个字节来指定 C 类 192.168.1 网络，而用一种 0 来表达网络上所有也许的主机。 广播地址 广播地址是一种容许向给定子网中的所有主机而不是一台特定的网络主机同步发送网络数据的 IP 地址。一般原则 IP 网络的地址是 255.255.255.255，但这个广播地址不能用来为 Internet 网上的每台主机发送一种广播消息，由于路由器会制止它。更合适的广播地址设立是匹配特定子网的。例如，在流行的私有 C 类 IP 网 192.168.1.0 中，广播地址应当设为 192.168.1.255。广播消息一般都是由网络合同产生的，如地址辨

29、认合同 (ARP) 和路由信息合同 (RIP)。 网关地址 网关地址是一种通过该地址也许会达到指定网络或网络主机的 IP 地址。如果一台网络主机但愿与另一台网络主机通讯，而该机并不在同一网络中，而是要传播到另一种网络或主机上，如 Internet 主机。网关地址设立必须对的，否则您的系统将不能达到不在同一网络中的任何主机。 名称服务器 地址 名称服务器地址表达域名服务 (DNS) 系统的 IP 地址。该系统将网络主机名解析成 IP 地址。可以按顺序来指定三个不同优先级的名称服务器地址：主 名称服务器，次 名称服务器，和 第三 名称服务器。按顺序为您系统将网络主机名解析成相应的 IP 地址，你必

30、须指定合法的名称服务器地址，该地址应当在您系统的 TCP/IP 配备中被授权使用。在许多状况下这些地址可以也应当被您的网络服务供应商提供，但也可以使用许多免费的、可供公众访问的名称服务器，如 IP 从 4.2.2.1 到 4.2.2.6 的 Level3 (Verizon) 服务器。 IP 地址、掩码、网络地址、广播地址以及网关地址一般都是在文献 /etc/network/interfaces 中通过相应的语句来指定的。名称服务器地址一般是在文献 /etc/resolv.conf 中通过 nameserver 语句来指定的。更多详情，请分别查阅 interfaces 或 resolv.conf

31、 的系统手册页。 查阅 interfaces 系统手册页，可用如下命令： man interfaces 查阅 resolv.conf 系统手册页，用如下命令： man resolv.conf IP 路由4.2.3. IP 路由是在 TCP/IP 网络上为也许发送的网络数据指明或发现途径。路由使用一组路由表来批示网络数据包从源地址转发到目的地，常常是通过许多叫做路由器的网络节点做中转。IP 路由是 Internet 上途径发现的重要方式。IP 路由分为两种形式：静态路由 和 动态路由。 静态路由涉及向系统路由表中手工添加的 IP 路由，一般是通过 route 命令来向路由表手工添加的。静态路由与

32、动态路由相比有许多长处，如在小网络中实行简朴，有可预测性 (路由表总是事先算好，因此路由在每次使用时都相称一致)，在其他路由器和网络链路解决上比动态路由合同开销小。然而，静态路由也有某些缺陷。如静态路由 只限于小网络并且不能较好地进行调节。静态路由由于路由固定的特性，因此主线无法根据路由来适应网络中断和故障。 动态路由有赖于从一种源到目的有多条可用 IP 路由的大型网络，运用特定的路由合同，如路由信息合同 (RIP)，可以自动调节路由表以生成也许的动态路由。动态路由相对静态路由有几种长处,如拥有较大的伸缩性和能根据网络路由来适应网络中断和故障。另 外，几乎不必手工配备路由表，由于路由器可以互相

33、学到其她已有并且可用的路由器。这一特性也消除了由于人为错误而在路由表中引入错误的也许。然而，动态路 由也并不完美，其体现出来的缺陷如相称复杂以及由于路由器通讯所带来的额外的网络开销，并不能使最后顾客由此获益，并却始终消耗着网络带宽。 TCP 和 UDP4.2.4. TCP 是一种基于连接的合同，提供纠错并通过 流量控制 来传播数据。流量控制决定什么时间一种数据流需要停止，例如在浮现诸如 冲突 等问题时重发先前发送的数据包，以保证完整和精确的数据传播。TCP 常用于重要信息的互换，如数据库传播。 另一方面，顾客数据报合同 (UDP) 是一种 无连接 合同，很少用于重要数据的传播，由于缺少流量控制

34、或其她某些保证可靠数据传播的措施。UDP 常用在如音视频流这样的应用程序，由于它缺少纠错和流控，因此相对于 TCP 来说更快，并且丢失少量包一般也不会导致劫难性的後果。 ICMP4.2.5. Internet 控制消息合同是在Request For Comments (RFC) #792 中定义的，是对网际合同 (IP) 的一种扩大。支持的网络包涉及控制、错误和信息的消息。ICMP 常被用在诸如判断一台网络主机或设备可用性的 ping 工具这样的网络应用程序。在网络主机和设备如路由器之间使用 ICMP 所返回的错误消息示例涉及 Destination Unreachable 和 Time Ex

35、ceeded。 守护程序4.2.6. 守护程序是特殊的系统应用程序，一般常驻在後台并等待来自其她应用程序祈求其所提供的功能。许多守护程序都是网络中心；在 Ubuntu 系统後台执行的许多守护程序都可以提供网络的有关功能。这些网络守护程序涉及 超文本传播合同守护程序 (httpd)，用于提供网站服务器功能；Secure SHell 守护程序 (sshd)，用于提供安全远程登录 shell 和文献传播功能；Internet Message Access Protocol 守护程序 (imapd)，用于提供 E-Mail 服务。 防火墙配备 Linux 内核涉及 Netfilter 子系统，用来解决

36、或决定网络传播头部进入或穿过你的服务器，目前所有的 Linux 防火墙都用该系统来做包过滤。 防火墙简介4.3.1. 内核的包过滤系统如果没有一种顾客态 (userspace) 界面来管理它的话对管理员来说几乎没有用。这正是 iptables 的目的。当一种包达到您的服务器，它从顾客态 (userspace) 通过 iptables 传给 Netfilter 子系统，然後基于提供的规则去接受、操作或回绝。因此，如果你能熟悉它的话，那幺 iptables 就是您管理您防火墙所需的所有。 IP 伪装4.3.2. IP 伪装的目的是为了容许您网络上那些有着私有的、不可路由的 IP 地址的机器可以通过

37、做伪装的机器访问 Internet。来自您私有网络并要访问 Internet 的传播必须是可以操作的，也就是说答复要可以被路由回来以送到发出祈求的机器上。要做到这一点，内核必须修改每个包 源 IP 地址以便答复能被路由回它这里，而不是发出祈求的私有 IP 地址，由于它们对于 Internet 来说是不存在的。Linux 使用 Connection Tracking (conntrack) 来保持那个连接是属于哪个机器的，并相应地对每个返回包重新做路由。发自您私有网络的流量就这样被伪装成源于您的网关机器。这一过程在 Microsoft 文档中被称为 Internet 连接共享。 这可以用单条 i

38、ptables 规则来完毕，也许基于您网络配备来说会有某些小的差别： sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE上述命令假设您的私有地址空间是192.168.0.0/16，您与 Internet 相连的设备是 ppp0。语法分解如下所示： o -t nat - 该规则将进入 nat 表 -A POSTROUTING - 该规则将被追加 (-A) 到 POSTROUTING 链 -s 192.168.0.0/16 - 该规则将被应用在源自指定地址空间的流量上 -o ppp0 - 该规则应用

39、于筹划通过指定网络设备的流量。 -j MASQUERADE - 匹配该规则的流量将如上所述 跳转 (-j) 到 MASQUERADE (伪装) 目的。 在过滤表 (缺省表，在那里有着大多数或所有包过滤指令) 中的每条链 (chain) 均有一种默认的 ACCEPT 方略，但如果您还在网关设备上设立防火墙，那么您也许还要设立 DROP 或 REJECT 方略，这时您被伪装过的流量还需要被 FORWARD 链 (chain) 中的规则容许才干正常工作： sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPTsudo iptables

40、 -A FORWARD -d 192.168.0.0/16 -m state -state ESTABLISHED,RELATED -i ppp0 -j ACCEPT上述命令将容许通过从您局域网到 Internet 的所有连接，这些连接所有的有关流量也都返回到发起它们的机器。 工具4.3.3. 有诸多工具可以协助您构建一种完整的防火墙，而不需要 iptables 的专业知识。偏好图形界面的，Firestarter 非常流行也易于使用，fwbuilder 则非常强大并且其界面对于用过诸如 Checkpoint FireWall-1 商业防火墙工具的管理员来说相称熟悉。如果您偏好有着纯文本配备文档

41、的命令行工具，Shorewall 是个非常强大的解决方案，可以帮您为任何网络配备一种高档防火墙。如果您的网络相对简朴，或如果您没有网络，那幺 ipkungfu 将给您一种无需配备就可以工作的防火墙，也容许您通过编辑简朴和谐的配备文献来轻松设立更高档的防火墙。另一种感爱好的工具就是fireflier，被设 计成桌面防火墙应用程序。它由一种服务器 (fireflier-server) 和可选的 GUI 客户端 (GTK 或 QT) 构成，操作就象 Windows 中许多流行的交互式防火墙应用程序同样。 日记4.3.4. 防火墙日记重要是为了确认袭击、找出并解决您防火墙规则的问题以及注意您网络中不正

42、常的活动。您必须在您防火墙中涉及这些日记规则以便生成相应日 志，虽然，日记规则必须优先于任何可应用的最后规则 (那些决定其目的包命运的规则，如ACCEPT、DROP 或 REJECT) 。 sudo iptables -A INPUT -m state -state NEW -p tcp -dport 80 -j LOG -log-prefix NEW_HTTP_CONN: 一种从本机发起的对 80 端口的祈求将会在 dmesg 中生成一条日记，如下所示： 4304885.870000 NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:

43、00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0上面的日记也会出目前/var/log/messages、/var/log/syslog 和 /var/log/kern.log 中。这一过程可以通过合适编辑 /etc/syslog.conf 或安装配备 ulogd 并用 ULOG 替代 LOG 来进行变化。ulogd 守护程序是一种顾客态服务器可以

44、监听来自内核的防火墙日记指令，并且可以将其写到任何您但愿的文献中，甚至是 PostgreSQL 或 MySQL 数据库。使用诸如 fwanalog、fwlogwatch 或 lire 日记分析工具将会很轻松地弄懂您的防火墙日记。 OpenSSH 服务器 简介4.4.1. Ubuntu 服务器指南的这部分内容简介一种强大的远程控制网络计算机和在它们之间传播数据的工具集 OpenSSH。您也可以学到某些 OpenSSH 服务器应用程序的配备以及如何在您 Ubuntu 系统修改它们。 OpenSSH 是Secure Shell (SSH) 合同工具集中的一种自由可用的版本，用以远程控制一台计算机或在

45、计算机之间传播文献。完毕这些功能的老式工具，如 telnet 或 rcp 等，是不安全的，它们在使用时用明文来传播顾客的密码。OpenSSH 提供一种服务器守护程序和客户端工具来保障安全、加密的远程控制和文献传播操作，以有效地取代老式的工具。 OpenSSH 服务器组组件 sshd 持续监听来自任何客户端工具的连接祈求。当一种连接祈求发生时，sshd 根据客户端连接的类型来设立目前连接。例如，如果远程计算机是通过 ssh 客户端应用程序来连接的话，OpenSSH 服务器将在认证之後设立一种远程控制会话。如果一种远程顾客通过 scp 来连接 OpenSSH 服务器，OpenSSH 服务器将在认证

46、之後开始服务器和客户机之间的安全文献拷贝。OpenSSH 可以支持多种认证模式，涉及纯密码、公钥以及Kerberos 票据。 安装4.4.2. OpenSSH 客户端及服务器应用程序的安装是简朴的。要在您 Ubuntu 系统中安装 OpenSSH 客户端应用程序，可以在终端提示符後使用如下命令： sudo apt-get install openssh-client要安装 OpenSSH 服务器应用程序及有关的支持文献，可以在终端提示符後使用如下命令： sudo apt-get install openssh-server 配备4.4.3. 您可以通过编辑 /etc/ssh/sshd_conf

47、ig 文献来配备 OpenSSH 服务器应用程序的缺省过程。有关该文献中使用的配备语句信息，您可以在终端提示符後运营下列命令来查阅相应的手册页： man sshd_config在 sshd 配备文献中有许多语句来控制那些诸如通信设立和认证模式。下面是一种通过编辑 /etc/ssh/ssh_config 文献来变化配备语句的例子。 在编辑配备文献之前，您应当生成一种原始文献的拷贝并对其写保护，以便您可以参照原始文献并在必要时重用它。 拷贝 /etc/ssh/sshd_config 文献并对其写保护可以通过在终端提示符後运营下列命令： sudo cp /etc/ssh/sshd_config /e

48、tc/ssh/sshd_config.originalsudo chmod a-w /etc/ssh/sshd_config.original如下是您也许更改配备语句的范例: o 要设立您 OpenSSH 在 TCP 2222 端口而不是缺省的 TCP 20 端口监听，可以如下使用变化 Port 语句： Port 2222 o 要让 sshd 容许基于公钥登录证书，可以简朴添加或修改该行语句： PubkeyAuthentication yes 到 /etc/ssh/sshd_config 文献中。如果已经存在，保证该行语句没有被注释。 o 要使您的 OpenSSH 服务器显示 /etc/ 文献

49、的内容以作为预登录 Banner，只需简朴地将下行添加或修改： Banner /etc/ 到 /etc/ssh/sshd_config 文献中即可。 在修改 /etc/ssh/sshd_config 文献之後，保存该文献并重启 sshd 服务器应用程序以使之生效。可以在终端提示符後使用下列命令： sudo /etc/init.d/ssh restart许多其她的 sshd 配备语句可以使服务器应用程序按您的规定运营。然而，给您一种忠告，如果您访问服务器的唯一措施就是使用 ssh，并且您在通过 /etc/ssh/sshd_config 文献来配备 sshd 时犯了一种错误，那么在重启该服务之後您

50、也许会发现您被锁在服务器外面了，或者是 sshd 服务在解决一种不对的的配备语句时回绝启用。因此当在远程服务器上编辑该文献时要格外的小心。 引用4.4.4. FTP 服务器 文献传播合同 (FTP) 是一种 TCP 合同，用于在计算机之间上传和下载文献。FTP 工作在客户端/服务器模式下。服务器组件被称为 FTP 守护程序。它持续不断地临听来自远程客户端的 FTP 祈求。当一种祈求达到时，它管理登录和建立连接。在整个会话期间它执行 FTP 客户端发送来的任何命令。 可以通过两种方式来管理 FTP 服务器的访问： o 匿名 授权 在匿名模式中，远程客户端可以使用 anonymous 或 ftp

51、缺省顾客帐号并通过发送一种邮件地址做为密码来访问 FTP 服务器。在授权模式下一种顾客必须拥有帐号和密码。顾客所访问 FTP 服务器中目录和文献的权限是根据登录时所用帐号来定义的。一般来说，FTP 守护程序将隐藏在 FTP 服务器的根目录中并将其改到 FTP 家目录。这样就可以向远程传话隐藏文献系统的其她部分。 vsftpd - FTP 服务器安装4.5.1. vsftpd 是可在 Ubuntu 中使用的 FTP 守护程序之一。它在安装、设立和维护方面十分以便。要安装 vsftpd 您可以使用下列命令： sudo apt-get install vsftpd vsftpd - FTP 服务器配

52、备4.5.2. 你可以编辑 vsftpd 配备文献，/etc/vsftpd.conf，来配备缺省设立。缺省状态下只容许匿名 FTP。如果您但愿禁用该选项，您可以将下面这行： anonymous_enable=YES改为 anonymous_enable=NO 缺省状态下，本地系统顾客是不容许登录 FTP 服务器的。要变化该设立，您可以将下面这行反注释： #local_enable=YES 缺省状态下，容许顾客从 FTP 下载文献，但不容许她们上传文献到 FTP 服务器。为了可以上传文献到 FTP 服务器，需要变化该设立，您可以将下面这行反注释掉： #anon_upload_enable=YES

53、 配备文献涉及许多配备参数。有关配备文献中的每个参数的信息都可以得到，或者您可以参照手册页，man 5 vsftpd.conf 阐明每个参数的细节。 一旦您配备好了 vsftpd 您就可以运营该守护程序了。您可以执行下列命令来运营vsftpd 守护进程： sudo /etc/init.d/vsftpd start 请注旨在配备文献中缺省的设立重要是出于安全考虑。上面每一种变化都会使系统的安全性更小，因此请只在您需要时才变化她们。 网络文献系统 (NFS) NFS 容许系统将其目录和文献共享给网络上的其她系统。通过 NFS，顾客和应用程序可以访问远程系统上的文献，就象它们是本地文献同样。 NFS

54、 最值得注意的长处有： o 本地工作站可以使用更少的磁盘空间，由于常用数据可以被保存在一台机器上，并让网络上的其她机器可以访问它。 不需要为顾客在每台网络机器上放一种顾客目录。顾客目录可以在 NFS 服务器上设立并使其在整个网络上可用。 存储设备如软盘、光驱及 USB 设备可以被网络上其他机器使用。这也许可以减少网络上移动设备的数量。 安装4.6.1. 在终端提示符後键入如下命令安装 NFS 服务器： sudo apt-get install nfs-kernel-server 配备4.6.2. 您可以配备要输出的目录，您可以在 /etc/exports 文献中添加该目录。例如： /ubunt

55、u *(ro,sync,no_root_squash)/home *(rw,sync,no_root_squash)您可以用主机名来替代 *。尽量指定主机名以便使那些不想其访问的系统访问 NFS 挂载的资源。 您可以在终端提示符後运营如下命令来启动 NFS 服务器： sudo /etc/init.d/nfs-kernel-server start NFS 客户端配备4.6.3. 使用 mount 命令来挂载其她机器共享的 NFS 目录。可以在终端提示符後输入如下类似的命令： sudo mount :/ubuntu /local/ubuntu挂载点 /local/ubuntu 目录必须已经存在。

56、并且在 /local/ubuntu 目录中没有文献或子目录。 另一种挂载其她机器的 NFS 共享的方式就是在 /etc/fstab 文献中添加一行。该行必须指明 NFS 服务器的主机名、服务器输出的目录名以及挂载 NFS 共享的本机目录。 如下是在 /etc/fstab 中的常用语法： :/ubuntu /local/ubuntu nfs rsize=8192,wsize=8192,timeo=14,intr 引用4.6.4. 动态主机配备合同 (DHCP) 动态主机配备合同 (DHCP) 是一种网络服务，相对于手工为每台网络主机配备，它使网络主机也许自动被服务器指定设立。被配备成 DHCP

57、客户端的计算机并不能控制其从 DHCP 服务器得到的设立，且该配备对于计算机顾客来说是透明的。 由 DHCP 服务器提供应 DHCP 客户端最常用的设立涉及： o IP 地址和掩码 DNS WINS 然而，一种 DHCP 服务器也支持配备如下属性，如： o 主机名 域名 默认网关 时间服务器 打印服务器 使用 DHCP 的好处在于当网络发生变化如 DNS 服务器地址变化时，只需要在 DHCP 服务器中变化即可，所有网络主机将在其 DHCP 客户端下一次轮询 DHCP 服务器时被重新配备。另一种好处就是，它在将新计算机整合到网络时也更容易，由于不需要再检查 IP 地址的有效性。同步也减少 IP

58、地址的冲突。 一种 DHCP 服务器可以用两个模式来提供配备设立 MAC 地址 该模式需要用 DHCP 去标明连接到网上的每块网卡唯一的硬件地址，然後在 DHCP 客户端每次使用该网络设备发送给 DHCP 服务器祈求时提供应它一种固定的配备。 地址池 该模式需要定义一种 IP 地址池 (有时也叫范畴或作用域) ，以便 DHCP 客户端可以被动态提供它们的配备from which DHCP clients are supplied their configuration properties dynamically and on a fist come first serve basis。当一种

59、 DHCP 客户端有段时间不再在网络上时，该配备将过期并释放回地址池以便为其她 DHCP 客户端使用。 ubuntu 提供 DHCP 服务器及其客户端。服务器叫 dhcpd (动态主机配备合同守护程序)。Ubuntu 提供的客户端叫 dhclient，应当安装在所有自动配备的计算机上。这两个程序很容易安装和配备，并可在系统引导时自动启用。 安装4.7.1. 要安装 dhcpd，可以在终端提示符後输入如下命令: sudo apt-get install dhcpd您将看到下面的输出，阐明接下来做什么： Please note that if you are installing the DHCP

60、 server for the firsttime you need to configure. Please stop (/etc/init.d/dhcpstop) the DHCP server daemon, edit /etc/dhcpd.conf to suit your needsand particular configuration, and restart the DHCP server daemon(/etc/init.d/dhcp start).You also need to edit /etc/default/dhcp to specify the interface

61、s dhcpdshould listen to. By default it listens to eth0.NOTE: dhcpds messages are being sent to syslog. Look there fordiagnostics messages.Starting DHCP server: dhcpd failed to start - check syslog for diagnostics. 配备4.7.2. 安装结束後的错误消息也许会带来小小的困惑，但是下面几步将协助您配备服务：一般，您想做的是随机指定一种 IP 地址。这可以通过如下设立来实现： # Samp

62、le /etc/dhcpd.conf# (add your comments here) default-lease-time 600;max-lease-time 7200;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option routers 192.168.1.254;option domain-name-servers 192.168.1.1, 192.168.1.2;option domain-name mydomain.org;subnet 192.168.1.0 netmask 255.255.255.0 range 192.168.1.10 192.168.1.100;range 192.168.1.150 192.168.1.200; 这将导致 DHCP 服务器从 192.168.1.10-192.168.1.100 或 192.168.1.150-192.168.1.200 范畴中分派客户端一种 IP 地址。如果客户端没有规定一种特定的时间帧的话它将租用 600秒的 IP 地址。否则最大 (容许) 租用时间为 7200 秒。服务器也 建议 客户端使用 2