By James T. Dennis, answerguy@ssc.com
Starshine Technical Services, http://www.starshine.org/
翻译:gaia
From Nilesh M.
Hi,
我有几个问题.我想把Linux设置成我的家用电脑的服务器,让它们共享一条 Internet连接,还想把它用做Internet服务器.
O.K.那是三种不同的角色:
网络服务器 (要提供哪些服务)
Internet网关 (代理(proxy) 和/或 伪装(masquerading))
Internet主机/服务器 (要提供哪些服务)
Linux可以同时扮演这三种角色---尽管就安全和风险评估而言"把所有的蛋放进一个篮子"未必是个好主意.
按常规,你还要考虑机器性能---不过拥有200+Pentium处理器,32M到256M RAM,4Gb到12Gb磁盘空间的典型的现代PC比起5到10年前的Unix已经是相当强大了 .
你知道不知道我能否用一个用于modem的10mbs以太网和一个用于家庭网络的100mbs以太网来设置Linux?应该从哪着手,怎么去做?
我猜想你指的是设一个10Mbps以太网用于cable modem,ISDN路由器(router)(如 Trancell/WebRamp,或Ascend Pipeline系列),或者DSL路由器.这些设备的功能是作 为你购买的cable,ISDN或xDSL服务的路由器,一般提供10Mbps接口.
你完全可以在Linux系统中安装两个或更多以太网卡.若你把任何标准的现代 100Mbps网卡用于10Mbps的局域网,它们会自动处理10Mbps的速率.所以你只管为你的系统安装两块这样的网卡,一块接路由器,另一块接高速HUB.
你通常要把以下这行加进/etc/lilo.conf文件里好让内核识别第二块网卡:
append="ether=0,0,eth1"
... 0,0,表示自动检测这个设备的 IRQ 及I/O基地址.否则你就需要像下面这样指定参数:
append="ether=10,0x300,eth0 ether=11,0x280,eth1"
这一行必须出现在/etc/lilo.conf的每一个Linux"段"中(即每一组引导Linux的选项,分别指向不同的Linux kernel,相应的root文件系统及其它设置).
当然了,你必须运行 /sbin/lilo命令以读入 /etc/lilo.conf 文件中的任何改变,并把它们"编译"进新的引导区和映 像("maps").
如果你的系统安装了普通的modem---照样可以用.你可以用PPP(使用pppd程序)通过普通电话线建立Internet连接.Linux还提供了对内置ISDN, T1 "FRADs" (frame relay access devices)和 CSU/DSU (即Codecs --- coder decoder units)的支持.
我还听说用于控制一些类型的内置ISDN卡的ipppd.我想多数其它设备都有相应的驱 动程序使它们"看似"Linux的 modem或以太网设备.
我只想买两块100mbs网卡互相连接...所以我想我并不需要集线器,对吗?我只想让两台机器连在这个简单网络上.
你要么需要一个HUB,要么需要一个"十字交叉"的ethernet patch cord.普通的5个接头(? cat 5)的ethernet patch cord没法正确直接连接两块网卡.
感谢你的每一点帮助,特别是像一些站点链接之类的信息,能让我找到教我怎样一步步设置的资料.
我不知道这样的链接.正如你可能已经知道的,Linux有一百多个HOWTO文件,其中许多和设置各种服务有关.
现在我们回到前面列出的几种不同的角色:
网络服务器(要提供哪些服务) Internet网关(代理(proxy)和/或IP伪装(masquerading)) Internet主机/服务器(要提供哪些服务)
从第一项开始说吧.你有一个平时不连在Internet上的小网络(即没有永久的Internet专线连接).所以你会希望你的系统使用"私人网络地址".这就是指保留的IP地址 ---它们不会被分配给任何Internet上的主机(所以,使用它们不会导致你的系统在选择路由时产生歧义).
有三类这样的地址:
192.168.*.* --- 255个C类网络 172.16.*.* 到 172.31.*.* --- 15个B类网络 10.*.*.* --- 1个A类网络
... 我为我家里的网络分配了 192.168.42.*
... 这些地址还可以被防火墙和Internet网关(gateways)后面的系统使用.
就Linux而言,我们可以把一个Linux系统设置成本地服务器和Internet网关.我们的网关的实现可以通过"代理"(使用SOCKS或其它应用层工具在我们的私人网络和 Internet之间转发数据),或者通过IP伪装(在数据包被转发时,使用内建于内核的网络地址翻译代码重写数据包---一种网络层透明的代理方式).
不过,我们说得太远了点.
首先我们要设置Linux LAN服务器.所以,安装好Linux并设置好其网卡的IP地址,如 192.168.5.1.内核路由表里应该有指向我们的内部网络的路由,就像下面这样:
route add -net 192.168.5.0 eth0
... 这就告诉内核所有地址是 192.168.5.* 的主机位于与eth0相连的网段.
现在,想想你希望为你的其它机器提供什么服务.
Linux在缺省安装时就为任何能访问你的系统的机器提供了一些常见服务 (telnet, NFS, FTP, rsh, rlogin, sendmail/SMTP, web,samba/SMB, POP和 IMAP等等).多数这些服务要通过名叫inetd的"internet服务分派程序 "才能得到.这些服务的清单在 /etc/inetd.conf里.一些其它服务,如 mail传送及转发(sendmail),和web (Apache httpd)以"standalone"模式启动 ---即由 /etc/rc.d/*/S* 脚本启动而不需要inetd.NFS是一个特殊服务,需要几个不同的守护进程参与完成---特别是 portmapper和 mountd.因为NFS是基于"RPC"(远端过程调用)的服务.
既然所有能送数据包给你的系统都可以请求你的系统提供的服务,既然多数Unix和 Linux系统提供全套服务,这就出现了一个严重的安全问题.任何服务的守护进程的任何bug会导致整个系统的不可靠,从而可能被世界任何一个角落的人利用.这就导致了TCP包装程序(TCP Wrappers)的产生.(所有主要Linux发布都缺省安装了它---但缺省设置成提供全部权限).也就是为什么我们有"防火墙"和"包过滤".
你容易以为你很隐蔽,谁也不会闯进来.然而,如今有很多cracker和script kiddies,他们花费大量时间在"端口扫描"("portscanning")上---寻找脆弱的系统 ---把他们叫过来,利用他们做进一步的portscanning sniffing, 破解口令 ,spamming,破解软件,及其它活动.
我最近安装了一条DSL线路.所以我现在可以一直连在Internet上.我装上它还不足一个月,还没有指向我的IP地址的DNS记录.但我已经做了至少三次扫描寻找一些常见的 IMAP的bug,还有一次寻找一个mountd 的bug.所以,我敢说你并没有隐避得能高枕无忧.
当你通过ISDN或POTS(plain old telephone service)线路使用拨号PPP时,你仍有些风险.当你做这些时,风险仍在你这边.然而,设置你的系统以避免这类问题还是 值得的.
所以,你有必要如下编辑两个文件:
/etc/hosts.allow
ALL:LOCAL
/etc/hosts.deny
ALL:ALL
... 这绝对是你最低限度要考虑的.这样设置意味着tcpd程序(TCP Wrappers)允许 "local"系统访问(相对于你的域名,其主机名中没有"点"的那些主机),并且拒绝其它所有主机对一切服务的访问.
为了让这项措施正常工作,你要确认所有你的本地主机在/etc/hosts文件里正确地有自己的一项,且/或你已经正确设置了你自己的DNS服务的 forward 和reverse区.你还有必要确认你的/etc/host.conf (libc5)文 件和/或 /etc/nsswitch.conf (glibc2,即libc6)设置成首先搜索 /etc/hosts文件.
我的host.conf文件是这样的:
# /etc/host.conf
order hosts bind
multi on
我的/etc/nsswitch.conf是这样:
passwd: db files nis
shadow: db files nis
group: db files nis
hosts: files dns
networks: files dns
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
glibc2提供了一些钩函数,所以使用模块化的服务库(service libraries)对上面文件里每一种数据库的搜索和处理是可扩展的.所以很快我们将可以看到在这个服务调度文件(services switch file)中加入 LDAP服务---那样主机(hosts)用户(passwd或shadow?),用户组 (group)等信息就可以用名为nss_ldap的模块库来查询和处理,而nss_ldap模块与 LDAP服务器打交道.我们还可能看到用某种nss_hesiod模块对一些用户和用户组信息提供"Hesiod"服务(通过DNS或secureDNS协议).甚至我们会看到用一个 nss_nds模块来提供NDS(Novell/Netware目录服务).
不过话说得远了点.
一旦你做完这些,你就可以为你的LAN提供普通服务了.简单地说你如何设置你的客户系统取决于它们运行什么OS,和你想让它们得到什么服务.
比如,如果你想通过NFS让你的Linux或其它Unix客户共享文件,你要编辑你的 Linux服务器上的/etc/exports文件指定哪些目录树对哪些客户系统是可访问的.
以我自己的系统上的exports文件为例:
-+
# / *.starshine.org(ro,insecure,no_root_squash)
# / 192.168.5.*(ro,insecure,no_root_squash)
/etc/ (noaccess)
/root/ (noaccess)
/mnt/cdrom 192.168.5.*(insecure,ro,no_root_squash)
... 注意我在向我的LAN输出根目录时把两个目录标记为noaccess".这样做是为了防止我的网络上其它系统读我的设置文件和passwd/shadow文件.我只用 read-only模式输出我的根目录,并且只是偶尔才暂时地输出根目录(这就是为什么你看到时这几行是被注释掉的).我的CDROM设为可访问的,因为我并不担心屋子里的任何人读我的任何CD上的数据.
牢牢记住NFS就是 "no flippin security"(不堪一击的安全性) --- 任何能控制你的网络上任何系统的人都能够变成非root用户身份执行操作,并以那个用户的"名义"访问任何共享的NFS(NFS是为这样一种情况设 计的:只有少数主机并且都被锁在屋子里严格控制;而不是为在现代办公环境中使用而设计的:你夹着安装了Linux,FreeBSD,甚至 Solaris x86系统的膝上机走进办公室,把它连在最近的以太网插口上(这在现代办 公室随处可见---我在某些地方的接待区(reception areas)也见过).
为了与你的Windows系统共享文件,你需编辑 /etc/smb.conf.文件来设置 Samba.要想作MacOS的文件服务器,你需要安装并设置 etatalk.要想模拟 Netware文件服务器,你要安装Mars_nwe,和/或从Caldera (http://www.caldera.com)买一份Netware Server for Linux.
这些组件的每一个都有几种方法能把你的系统设置为打印服务器.
说完文件和打印服务,我们来看看"标准的Internet服务"( "commodity internet services")如FTP,telnet,HTTP (WWW).一般说来,如果你安装了任何通用的Linux发布,它们并不需要特殊的设置.
如果在/etc/passwd文件里你建立了一个FTP帐号,就允许通过匿名FTP访问你的某一子目录.如果你把这个帐号改名为"noftp"或"ftpx"或除了"ftp"的任何名字,或者干脆删除这个帐号,你的系统将关闭FTP服务.如果你开放FTP服务,你只需把你想共享的文件放进FTP的主目录的/pub目录下---确认它们是"可读"权限.FTP服务缺省由tcpd运行,所以要依据你的hosts.allow/hosts.deny文件的设置.
如果你打算建立一个"真正的"FTP站点,用作公共镜像或专业"extranet"应用,你恐怕需要用ncftpd, proftpd,或beroftpd代替已经过时的WU-ftpd或旧的BSD FTP守护程序(in.ftpd).这些替代的FTP守护程序有自己的设置文件,可以支持虚拟主机和其它特性.它们中有的允许你建立"虚拟用户"---这些帐号只允许通过FTP访问指定FTP子目录;还有虚拟主机服务---这些帐号可以被用于访问系统的任何其它服务.
Web服务由它们自己的设置文件控制.有几本书专门介绍Apache服务器的设置.缺省情况下,它们允许所有人浏览你放进魔力目录(magic directories)的所有网页 (/home/httpd/docs 或类似目录).
你可以根据客户的IP地址(或反过来找到它的DNS名字)来限制对特定目录的访问.和 TCP Wrappers一样,这不能被认为是一种"认证"---但它可以用于区分"本地"与"非本地"系统,如果你设置了反欺骗包过滤措施( ANTI-SPOOFING PACKET FILTERS)(任何好的防火墙都会有这部分).
telnet, rlogin, rsh,和其它类型的交互式shell访问通常极容易设置.像许多Unix/Linux服务一样,取消或限制访问比开放它们要麻烦得多.
在Red HatLinux下,这些和其它"需认证的"服务可通过编辑/etc/pam.d/下的PAM设置文件来控制.
所以,对于"如何把Linux设置成服务器"这个问题的简单回答就是,安装它,设置地址和路由选择,然后安装并设置你想提供的服务.
当我们想把Linux用作Internet网关时(或通向任何其它网络的网关---把你的家庭网络与你办公室或朋友的网络连接),你首先要解决的是地址分配和路由选择问题(设好你的第二个接口,并把它正确地加入路由表).然后利用IP伪装或代理服务 (SOCKS)使你的网络系统(使用的是"私人网络"地址)能够访问 Internet服务.
要用旧的ipfwadm(标准2.0.x内核)实现IP伪装,你只需用这样的命令行:
ipfwadm -F -a accept -m -D 0.0.0.0/0 -S 192.168.5.0/24
... 加入 (-a即add)一条规则到转发表中 (-F即 forwarding)以"接受(accept)"并伪装 (-m即"masquerading")符合以下条件的数据包:其目的地(-D即"destined for")为任何地址 (0.0.0.0/0),且其源IP地址(-S)符合192.168.5.0/24(24是一个地址掩码(相当于255.255.255.0),指定地址的前24bit即三位八进制数作为IP地址的"网络部分"---从而覆盖了这个C类网络的全部).
你应该使用模块化编译的内核,
