linux中簡述wed服務器配置過程

淺談基于Linux的Intranet環(huán)境建造

創(chuàng)新互聯(lián)公司自2013年起，我們提供高端網站建設、成都微信小程序、電商視覺設計、成都app開發(fā)及網絡營銷搜索優(yōu)化服務，在傳統(tǒng)互聯(lián)網與移動互聯(lián)網發(fā)展的背景下，我們堅守著用標準的設計方案與技術開發(fā)實力作基礎，以企業(yè)及品牌的互聯(lián)網商業(yè)目標為核心，為客戶打造具商業(yè)價值與用戶體驗的互聯(lián)網+產品。

在建設傳統(tǒng)的Intranet網絡環(huán)境的時候，我們一般是基于Windows NT Server系統(tǒng)的，在它的基礎上實現(xiàn)一系列的服務。 現(xiàn)在的Linux系統(tǒng)中也包含了很多基于網絡建設的軟件服務，基本上我們是完全可以利用Linux系統(tǒng)建立與Windows NT Server所具有的基本Intranet框架相同的框架。并且還可以在這個基礎上發(fā)展具有Linux系統(tǒng)自身特點的Intranet環(huán)境，在某種程度上其性能還優(yōu)于Windows NT Server系統(tǒng)。

我們先假設一個基于Linux系統(tǒng)局域網的網絡構架。首先，建議使用轉換器把Internet接口轉換為雙絞線，直接連接到一臺雙網卡Server上。該Server的另外一塊網卡和其他的Server及Client連接到一個Hub上面，成為一個局域網。雙網卡的服務器作為防火墻和網關，控制內部網和Internet連接的安全。我們在其上面還可以運行其他的服務，例如文件服務器、代理服務器、郵件服務器和Web服務器等。另外一臺服務器可以作為數(shù)據庫服務器，在其上主要運行數(shù)據庫服務。

雙網卡中對外的網卡必須有正式的IP，另外一塊網卡和其他計算機的網卡可以使用私有IP，范圍從“192．168．1～192．168．254”自由分配，其他計算機的網關地址都指向防火墻網關服務器的內部IP。防火墻網關服務器的網絡配置要根據申請的IP地址來具體設置。

一般地，我們要求的Intranet環(huán)境應該是提供最基礎的WWW服務、FTP服務、DNS服務、網上鄰居等服務項，下面我們就一一簡單地介紹一下。

1.WWW服務

首先我們要實現(xiàn)WWW服務，我們以在RedHat系統(tǒng)的完全安裝中為例，這里系統(tǒng)已經為大家安裝好了目前在Internet上使用得最多的HTTP服務器Apache， 你只需要使用“setup”命令選擇該服務，或者直接運行“httpd”即可。它的安裝根目錄是在/home/httpd/目錄下的，只要使用瀏覽器按照“IP地址”訪問你的Web server，就能夠看到Apache的說明文檔。如果你要發(fā)行自己的主頁，只需要將這些文檔放在/home/httpd/Html/下即可，或者是將httpd.conf中的文檔根目錄修改為你的Windows系統(tǒng)下的目錄，這樣既可以享受Linux的效率，也可享受Windows的頁面制作工具的便利。但是我們要注意在Linux環(huán)境中要區(qū)分大小寫，所以頁面中的文件名最好統(tǒng)一使用大小寫。在Windows環(huán)境中的頁面文件一般是.htm后綴，而缺省的Linux系統(tǒng)的瀏覽器Netscap或lyxn解釋的頁面文件是以.html為后綴的，你只需要在/etc/mime.types中增加如下一行即可：text/html html htm。同樣，你也可以按照注釋修改以下配置文件：

/etc/httpd/conf/httpd.conf

/etc/httpd/conf/Access.conf

/etc/httpd/conf/srm.conf 以建立更加強大而靈活的WEB服務器。

2.FTP服務

接著讓我們看看FTP服務的實現(xiàn)，我們依然是在RedHat系統(tǒng)的完全安裝中，RedHat系統(tǒng)已經為你安裝好了目前Internet流行的WU-FTP-2.4.2 Server。它的匿名訪問目錄在/home/ftpd/中，如果是在FTP客戶端使用普通帳戶登錄，那么我們將直接進入該賬戶的主目錄。它的配置文件主要是：

/ect/ftpaccess。

域名服務（DNS服務）的功能是把我們取的名字映射為具體的IP地址。目前Internet流行的域名服務器BIND，它的執(zhí)行進程是“named”，其配置文件有：

/ect/named.conf

/etc/resolv.conf

/var/named/named.ca

/var/named/named.local

/var/named/named.hosts(自建)

/var/named/named.rev

其中的自建文件需要符合“named”配置文件的格式，我們從已有的文件中cp即可，尤其注意BIND 4的配置文件格式和BIND 8p是完全不同的，如果使用的版本不同的話，請查閱其具體的配置文件。

3.RAS服務

RAS服務（PPP）也是傳統(tǒng)的服務之一，配置PPP在Linux系統(tǒng)中是比較復雜的一項工作。它的主要配置文件有：

/etc/mgetty+sendfax/mgetty.config

/etc/mgetty+sendfax/loging.config

/etc/inittab

/etc/ppp/options

/etc/ppp/ppplogin

/etc/ppp/options.ttyS2

/etc/ppp/pap-secrets

/etc/hosts

提醒大家的是如果使用Win95的撥號適配器的話，它的網關為撥號服務器的IP，DNS為內部網的DNS Server的IP，設置遠程自動配置IP，新手可以先不啟動該服務。

4.DHCP功能

DHCP的功能是動態(tài)分配IP地址。注意在啟動dhcpd之前，增加一項缺省路由：/sbin/route add -host 255.255.255.255 dev eth0詳細的格式可以使用“main dhcpd”得到。它的執(zhí)行進程是“dhcpd”，它的配置文件有：

/etc/dhcpd.conf /etc/dhcpd.leases（空文件）

/etc/dhcpd.leases~(空文件夾)

5.網上鄰居

網上鄰居（smbd nmbd）也是我們很關心的功能，微軟的網上鄰居是局域內直接而簡便的資源共享方法，但它采用的是Netbeui協(xié)議。而Linux系統(tǒng)采用的主要是TCP/IP協(xié)議，它提供的Samba可以方便地完成網上鄰居的功能，讓你的用戶通過網上鄰居看到你的服務器和共享的資源。其主要配置文件有：

/etc/smb.conf

/etc/smbusers

代理服務和防火墻（routed lpmasquerdde ipfwadm）的設置對于一些用戶也是必要的。在Windows NT中也有“routed”命令，但要實現(xiàn)共享IP地址卻要使用專門的代理軟件，如proxy Server、 Wingate、Winproxy等。在這方面，Linux利用核心支持的“ipmasquerad”功能，配合“routet”和“ipfwadm”則可以輕松地實現(xiàn)這一功能，并且在使用瀏覽器時還不需要指定代理服務器，同時利用“ipfwadm”確定接收和發(fā)送數(shù)據包的規(guī)則，并且還可以提供基于包過濾的防火墻設施。它的主要配置命令有：

/sbin/ipfwadm -F -P deny

/sbin/ipfwadm -F -a m -s 192.168.0.0/16 -D 0.0.0.0/0

/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 130.0.40.1

6.SQL數(shù)據庫系統(tǒng)

SQL數(shù)據庫系統(tǒng)(postgresql)在目前的Intranet環(huán)境中是越來越重要了，但在Windows NT平臺上運行的商品化的SQL數(shù)據庫價格不菲。Linux系統(tǒng)集成的SQL數(shù)據庫主要有Postgre和SQLmysql，它們均達到了SQL92的標準，并且提供在 Windows系統(tǒng)的客戶端的ODBC驅動程序，是非常理想的后端數(shù)據庫系統(tǒng)。PostgreSQL是普遍使用的免費SQL數(shù)據庫系統(tǒng)之一，而且是一些商用SQL數(shù)據庫的原形。盡管它可能沒有現(xiàn)在的某些商品化SQL功能強大，并且能夠處理中文，作為一般的Intranet Web數(shù)據庫系統(tǒng)，使用它已經是綽綽有余了。它還為編制CGI程序提供了方便的接口。要訪問postgreSQL可使用命令“psql”，缺省的管理員賬號“postgres”是在安裝后禁用的，需要給予登錄權限。為了讓Web客戶能夠訪問數(shù)據庫，我們需要給“nobody”用戶授權。

微軟的ASP技術作為IIS的模塊，可以簡化CGI程序的編制，提高Web服務器的效率，提供靈活的數(shù)據庫連接方法。Linux系統(tǒng)中的Apache也有相應的PHP模塊，由于Linux系統(tǒng)中包含有使用最廣泛的CGI編程語言PERL 5，所以我們可以輕松而高效地設計CGI程序。

7.其他實現(xiàn)

Linux系統(tǒng)里還有一些對構建Intranet環(huán)境比較有用的東西，比如磁盤限額（quota）服務，使用限額機制可以控制用戶對資源的擁有量，防止非法上載，是多用戶環(huán)境下必須具備的功能。我們還是以RedHat為例，RedHat中啟動磁盤限額方法很簡單，只需要使用Linuxconf中的相應選項即可。但是你需要在實施限額的文件系統(tǒng)的根目錄下建立“quota.user”和“quota.group”兩個空文件，并且，應該在安裝完系統(tǒng)后立即啟動該服務，linuxconf程序不光可以動態(tài)配置系統(tǒng)，而且具有多種工作界面，極大地方便了用戶配置與管理系統(tǒng)。為了能夠運行l(wèi)inuxconf，我們必須以根（root）用戶的身份登錄Linux系統(tǒng)。如果你不是以根用戶的身份登錄系統(tǒng)，那么可在系統(tǒng)提示符下執(zhí)行“su”命令，變成根用戶。常見的linuxconf工作界面有：命令行界面、字符單元界面（使用了像RedHat Linux安裝時的用戶界面形式）、基于XWindow的界面（提供易于使用的“點擊”樹狀菜單）。

我們以RedHat Linux 6.0系統(tǒng)為例，想要linuxconf在Web瀏覽器環(huán)境工作，必須進行以下設置：

* 在gnome－linuxconf對話框中，打開“Config/Networking/Misc/Linuxconf network access”分支，選中“Enable netwoork access”選項。

* 在對話框中輸入任何允許使用Linuxconf的計算機的主機名，包括用戶主機名字。

* 選擇“Accept”按鈕，并按空格鍵，單擊“Quit”按鈕。

* 啟動Netscape瀏覽器，在URL欄鍵入：http://〈hostname〉:98/ 〈cr〉。其中，必選項“hostname”應換成用戶計算機的主機名。

* 選擇瀏覽器頁面底部的“Start”按鈕，在彈出的口令驗證框中，分別輸入根用戶的名字“root”和相應的口令。如果口令正確，則進入基于Web的linuxconf工作界面。該界面主要由Config和Control兩部分組成，它們各自均含有5個具有超鏈接特性的選項，用戶單擊具體的選項，即可打開對應的頁面，完成相應的配置。

Linux系統(tǒng)中包含的“sendmail”是Internet電子郵件系統(tǒng)中主要的SMTP軟件，“imapd”軟件是POP3郵件服務器，可以讓你使用Netscape或IE輕松收發(fā)電子郵件。注意，你要在/etc/sendmail.cw中添加內部域名，再將/etc/sendmail.cf中的F項修改為Fw/etc/sendmail.cw.遠程登錄（Telnet）。

現(xiàn)在有很多的關于Linux系統(tǒng)方方面面的文章，所以如果是要建立一個基于Linux系統(tǒng)的Intranet環(huán)境，還有很多的參考，而且要是想讓你的Intranet環(huán)境完美起來，還有很多的服務等你實現(xiàn)。

（出處：）

什么是WEB安全？是網絡安全么？

網站安全

§1、網站安全概述

一、 常見的網站提供的服務：DNS SERVER，WEB SERVER，E-MAIL SERVER，F(xiàn)TP SERVER，此外網站還需要有個主服務器（最好不要把網站的操作系統(tǒng)服務器與上述的SERVER 放在一起）（不一定全對互聯(lián)網開放）

1、 這些常見的服務屬于TCP/IP協(xié)議棧，如果低層安全性被攻擊了，則高層安全成了空中樓閣。所以要進行安全分析（安全只是個動態(tài)的狀態(tài)）

2、 TCP/IP協(xié)議棧各層常見的攻擊（回憶TCP/IP各層結構圖）

（1）物理層：數(shù)據通過線傳輸是特點

威脅：監(jiān)聽網線，sniffer軟件進行抓包，拓樸結構被電磁掃描攻破

保護：加密，流量填充等

（2）internet層：提供尋址功能是其特點-----路由，IP,ICMP,ARP,RARP

威脅：IP欺騙(工具完成將數(shù)據包源地址IP改變)

保護：補丁、防火墻、邊界路由器設定

（3）傳輸層：控制主機間的信息流量-----TCP,UDP

威脅：DOS(圖)，DDOS，會話劫持等

保護：補丁、防火墻、開啟操作系統(tǒng)抗DDOS攻擊特性

（4）應用層：協(xié)議最多最難防

①SMTP協(xié)議：

威脅：郵件風暴（黑客給郵件服務器不斷發(fā)木馬或病毒），企業(yè)用戶內網與外網采用同樣的郵箱名，郵件的中繼與轉發(fā)(圖)

保護：防病毒網關，郵件服務器軟件及時打補丁

②FTP協(xié)議：

威脅：匿名用戶如果具有寫權限，會上傳非法服務給FTP SERVER; 用戶名、口令在FTP客戶端與服務器端之間是明文傳輸

保護：FTP數(shù)據存放于獨立分區(qū)，不允許匿名的FTP連接，上傳與下載位于不同的NTFS分區(qū)，F(xiàn)TP客戶端與服務器端的通訊進行加密SSH

③HTTP協(xié)議：

威脅：Java script，CGI，ASP，ActiveX

保護：禁止這些不安全的控件，殺毒軟件

④Telnet協(xié)議：

威脅：明文傳輸敏感數(shù)據

保護：加密

⑤SNMP協(xié)議：

威脅：public默認社區(qū)名，明文傳輸敏感信息

保護：將默認社區(qū)名改名，防火墻

⑥DNS協(xié)議：

威脅：DNS欺騙

保護：防火墻阻止，在DNS zone中設定成只允許幾個主機的zone傳輸

3、 網站業(yè)務流（電子商務與普通企業(yè)網站業(yè)務流不同，重點是認證）、采用的拓樸、防火墻體系結構、操作系統(tǒng)等的不同，受到的威脅也不同

二、 在網站業(yè)務流、采用的拓樸、防火墻體系結構、操作系統(tǒng)等體系結構確定的前提下，還存在的安全問題

1、未授權存取（匿名用戶具有寫權限----IIS寫權限掃描工具+桂林老兵可以完成）

2、竊取系統(tǒng)信息:帳號,銀行

3、破壞系統(tǒng)：破壞數(shù)據（刪除數(shù)據）

4、非法使用：利用FTP服務器存放非法軟件

5、病毒木馬：不小心執(zhí)行病毒、木馬

三、web站點典型安全漏洞

1、操作系統(tǒng)類：通用安全漏洞，各操作系統(tǒng)特有的安全漏洞

2、路由器等網絡系統(tǒng)漏洞：如路由器、防火墻等的缺省配置及配置錯誤（一部分邊界路由器有自動配置的功能，但這種自動配置功能必須手工開啟）（見校園網拓樸結構圖）

3、應用系統(tǒng)安全漏洞：協(xié)議漏洞

4、網絡安全防護系統(tǒng)不健全：缺乏安全意識，缺少定期的安全檢測、安全監(jiān)控

5、其它漏洞：易被欺騙，弱認證，對電郵隊服附件病毒及WEB瀏覽可能存在的惡意java/ActiveX小控件進行有效控制。

正因為存在這些安全漏洞所以要制定安全策略。

§2、WEB站點安全策略

允許遠程執(zhí)行CGI腳本，腳本中的bug會成為保護操作系統(tǒng)的漏洞;但如果限制CGI限制得過頭了，web使用起來不方便（安全是使用方便與安全配置之間的一個平衡點）

一、 安全策略定制原則：

1、風險分析：搞清站點屬于低端安全、中端安全、還是高端安全？易受哪些威脅？（默認配置）？根據威脅進行安全評估（使用啟明星辰的工具）

2、服務器記錄原則：web服務器會記錄它們收到的每一次連接（如果web server采用認證的方式還會記錄下用戶名），該用戶在此期間填寫的表格會被記錄下來，會對用戶構成威脅。

解決方案：web服務器管理者可以查閱用戶資料，但無需打開(審計人員查管理員好些)

二、 配置web server的安全特性

1、用戶與站點建立連接的過程中可能會造成因域名欺騙而使得用戶得不到授權訪問及要求的信息或者把黑客當作合法用戶來允許其訪問

2、加強各服務器的措施

①web server：主分區(qū)存放操作系統(tǒng)，web server放至另一分區(qū);CGI腳本放至第三個NTFS分區(qū);不以administrator身份運行web server（而以另一用戶身份運行web server）其余見winnt站點解決方案

②ftp server：與web server不同分區(qū)，允許只讀訪問，進行訪問控制的設置（一般只對內網開放）

③電子郵件服務器：安裝網絡級電子郵件掃描軟件;禁掉中繼任何未授權用戶；設置垃圾郵件過濾及巨型郵件過濾條件

三、 排除站點中的安全漏洞，盡量減少安全漏洞

1、物理漏洞：未授權人員訪問引起的

2、軟件漏洞：由軟件應用程序的錯誤授權引起。首要規(guī)則----不輕易相信腳本、java applet

3、不兼容問題

4、缺乏安全策略

四、 監(jiān)視控制出入web站點的出入情況

1、 Webtrends：查訪問次數(shù)最多的站點、最頻繁的用戶。它可以完成監(jiān)控請求（如：sever訪問次數(shù)，用戶來自何處，服務器上哪類信息被訪問、訪問的瀏覽器類型、用戶提交方式等）;它可以測算命中次數(shù)（可以確定出站點的命中次數(shù)----一個用戶詳細地讀站點時一次簡單的會話可以形成幾次命中;還可以通過站點上某個文件的訪問次數(shù)來確定站點訪問者的數(shù)目）

2、 入侵檢測系統(tǒng)：免費的snort

3、 傳輸更新：web三元素----HTTP協(xié)議，數(shù)據格式HTML，瀏覽器。三元素以HTML為中心，必須保持其更新

web的安全威脅有哪幾個方面

1、來自服務器本身及網絡環(huán)境的安全，這包括服務器系統(tǒng)漏洞，系統(tǒng)權限，網絡環(huán)境（如ARP等）、網絡端口管理等，這個是基礎。

2、來自WEB服務器應用的安全，IIS或者Apache等，本身的配置、權限等，這個直接影響訪問網站的效率和結果。

3、網站程序的安全，這可能程序漏洞，程序的權限審核，以及執(zhí)行的效率，這個是WEB安全中占比例非常高的一部分。

4、WEB Server周邊應用的安全，一臺WEB服務器通常不是獨立存在的，可能其它的應用服務器會影響到WEB服務器的安全，如數(shù)據庫服務、FTP服務等。

這只是大概說了一下，關于WEB應用服務器的安全從來都不是一個獨立存在的問題。

web常見的幾個漏洞

1. SQL注入。SQL注入攻擊是黑客對數(shù)據庫進行攻擊的常用手段之一。

2. XSS跨站點腳本。XSS是一種經常出現(xiàn)在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

3. 緩沖區(qū)溢出。緩沖區(qū)溢出漏洞是指在程序試圖將數(shù)據放到及其內存中的某一個位置的時候，因為沒有足夠的空間就會發(fā)生緩沖區(qū)溢出的現(xiàn)象。

4. cookies修改。即使 Cookie 被竊取，卻因 Cookie 被隨機更新，且內容無規(guī)律性，攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。

5. 上傳漏洞。這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級超級高，現(xiàn)在的入侵中上傳漏洞也是常見的漏洞。

6. 命令行輸入。就是webshell ，拿到了權限的黑客可以肆意妄為。

簡述配置服務器操作系統(tǒng)的內容有哪些

服務系統(tǒng)是一種操作系統(tǒng)，它一般被安裝在服務器上面。在網絡中它發(fā)揮著非常重要的作用，可以說是整個網絡的心臟。不論是在個人的電腦中，還是在具體的網絡中，服務器系統(tǒng)都要承擔一定的穩(wěn)定、安全、配置等方面的功能。它在很多的IT行業(yè)是基礎性的構架平臺，在人們的生活中也起著至關重要的作用。

(一)服務器系統(tǒng)的操作系統(tǒng)

WINDOWS操作系統(tǒng)是服務器系統(tǒng)的重要組成部分之一，這種操作系統(tǒng)在個人的操作中占有絕對的優(yōu)勢，在操作的過程中具有非常強勁的力量。這類操作系統(tǒng)雖然是最常見的，但是它對硬件的要求比較的高，穩(wěn)定性也不是很強。

LINUX是一種比較新型的網絡操作系統(tǒng)，在服務器的種類中，它是比較年輕的。但是它的源代碼是開發(fā)的，使得用戶可以享受更多免費的應用程序。這類的操作系統(tǒng)的安全性和穩(wěn)定性都很不錯，它主要應用于中高檔的服務器中，所以在服務器系統(tǒng)中這一類的操作系統(tǒng)是比較特殊的。

NETWARE在很多特定的行業(yè)和事業(yè)單位發(fā)揮著一定的作用，它具有非常不錯的批處理功能以及安全、穩(wěn)定的系統(tǒng)性，具有很大的生存空間。然而隨著技術的不斷發(fā)展它在服務器系統(tǒng)中的地位沒有以前那么高了，但是在很多對網絡硬件要求不高的企業(yè)中得到了廣泛的運用。

UNIX能夠支持大型的文件系統(tǒng)服務、數(shù)據服務等應用。它不僅功能強大，而且具有好的系統(tǒng)穩(wěn)定性和安全性。但是在實際操作的過程中它不太容易被掌握，同時它本身的體系結構不夠合理，所以在市場的競爭中逐漸呈現(xiàn)出下降的趨勢。