Professional Documents
Culture Documents
目 錄
一、基本網路管理基礎...............................................................................................................................................................2
A、TCP/IP 簡介.......................................................................................................................................................................2
B、常見的 TCP/IP 服務項目...................................................................................................................................................2
C、網路設定相關檔案簡介....................................................................................................................................................3
D、網路設定相關指令............................................................................................................................................................3
E、LINUX 上的網路服務.........................................................................................................................................................4
二、DHCP 動態 IP 管理分享.....................................................................................................................................................5
A、安裝、設定 DHCP............................................................................................................................................................5
三、防火牆的概念與設定...........................................................................................................................................................5
A、IPCHAINS 與 IPTABLES:.....................................................................................................................................................6
B、常用參數說明....................................................................................................................................................................6
四、DNS 設定管理......................................................................................................................................................................7
五、SENDMAIL 郵件服務管理...............................................................................................................................................11
A、/ETC/SMB.CONF 基本設定................................................................................................................................................15
B、除錯及問題排除方式 TROUBLESHOOTING.....................................................................................................................16
1
【加慶科技】 - Linux 伺服器管理
一、基本網路管理基礎
網路就和電話線路一樣,需要有連接的線路,連接的設備,連接的方法,以及位址--電話號碼。在網路的世界中,利
用網路線,網路卡,路由器等硬體,連接不同的電腦與網路,藉由每個電腦不同的 IP,做為位址的辨認,各電腦的
溝通過程中則利用 TCP/IP 做為通訊的協定。
A、TCP/IP 簡介
由於目前 TCP/IP 是建構 Internet 服務的主要通訊協定,所以我們可以先由 TCP/IP 開始瞭解網際網路如何運作。TCP/
IP 包含了一組的通訊協定,其中有兩個協定是其他大部份協定的基礎,這兩個協定分別是:
1.網際網路協定(Internet Protocol, IP):此通訊協定中定義了所有在網路上流通封包(packet)的資料格式與規則。
2.傳輸控制協定(Transmission Control Protocol, TCP):此通訊協定主要提供一個可靠的傳輸方式,可以保證 IP 封包正
確地傳送到某個系統。
主機名稱與網域名稱:
一般人對於 IP 位址並不容易記憶,因此每部主機除了有 IP 位址外,還有對應的主機名稱(hostname),通常選擇較易
記憶,而且不太可能改變的單字作為主機的名稱。這些名稱是讓使用者使用上方便,實際上網路及主機內部僅接受
IP 位址, 因此支援 TCP/IP 協定的程式另有一套轉換 IP 位址與主機名稱的方法。 與主機名稱相關的另一個名稱是網
域名稱(domain name) , 一個網域(domain)被定義為一群邏輯上相連接、但實質上不須相連接的機器。主機名稱加上網
域名稱,即為一完整的主機位址。
電子郵件位址:
將主機使用者的上線名稱 (login name) 加上@字元,再加上該主機完整的位址,即構成使用者的電子郵件位址。例如,
若在領域 ntu.edu.tw 中有部主機名為 mail, 其下有個使用者 ken,則該使用者的完整網際位址即是
ken@mail.ntu.edu.tw,透過此種位址,世界各處的使用者皆可直接交換訊息。
網際網路
網際網路即為網路的網路,藉由各骨幹網路將其他各區域的網路加以串連,各區域的網路與骨幹網路間則需要有闡
道器(gateway),使得各區域網路間可以溝通。整體而言,由許多主機構成一個網路,網路與網路之間則由閘通道負
責連繫,這樣一個架構就形成了今日的網際網路。
FINGER:(port 79)
此命令可列出主機中所有線上的使用者,或列出某個特定使用者的相關資訊。
2
【加慶科技】 - Linux 伺服器管理
在 RedHat 系統中提供了數個方便的網路設定工具,使用者不需直接修改各個設定檔案。這些工具包含了
linuxconf、netconfig、netconf 等,其中 linuxconf 及 netconf 還提供了圖形化的設定介面。此外也可以指令加以設定,且
大部份設定原理可以適用於其他版本的 Linux 系統。以下介紹 RedHat 系統中各個設定檔案的內容,如此您就可以對
應至各個工具所設定的內容了。
/etc/host.conf 網站主機名稱之搜尋順序
order hosts,bind //先 hosts 檔案,再用 bind 尋找
D、網路設定相關指令
設定及查詢網路相關設定
ifconfig -a //查看網路設定,所有網路介面
ifconfig
ifconfig eth0 up 128.66.2.150 netmask 255.255.255.0 broadcast 128.66.2.255 //啟動 eth0 網路設定,指定
各網路參數值 // ifdown eth0 關閉網卡, ifup eth0 開啟網卡
設定及查詢路由表
route -n //查看網路路由表,–n 參數可以使用數值 ip 型式
route
route –C –n // 查看網路路由表 cache 記憶
route add default gw 1.2.3.4 設定 default gateway
ping ping 140.123.174.12 //偵測 140.123.174.12 該點連接狀況
查詢網路路由路徑狀況
traceroute
traceroute –n 140.123.174.12 //查看目前主機至 140.123.174.12 該點連接路由路徑 n 代表以 IP 顯示
netstat netstat –an // 查看目前全部開啟的 port, a=all, n = numeric number (數字顯示, IP)
查詢 ip 的 domain 名稱,或 domain 名稱的 ip 位址
nslookup 140.123.174.12 //查詢 140.123.174.12 的 domain 名稱
nslookup
server 168.95.1.1 // 將 DNS 主機轉向 168.95.1.1 (dns.hinet.net 來作查詢動作)
set q=ptr (IP 反查),set q=mx (mail exchange 查詢),set q=a (A Record 正查)
host DNS 查詢工具
host dns.hinet.net (正查) 利用名稱查詢 IP 位置
host 168.95.1.1 (反查) 利用 IP 查詢主機名稱
3
【加慶科技】 - Linux 伺服器管理
網頁伺服器(Web)
我們一般利用 IE 或 Navigator 所進入的網站內容即是連接網頁伺服器,由網頁伺服器所送出的資料。目前大多數的
Linux 版本都是包括 Apache 伺服器,在網際網路上超過一半以上的站台使用 Apache 伺服器,或由其衍生出來的產品
我們可藉由 www.netcraft.com 來查看每網站的服務器版本。
遠端讀取電子郵件
此一服務即是利用 POP 通訊協定,讓使用者利用遠端的方式讀取他們的信件。另外 Linux 上亦可使用 IMAP (Internet
Message Access Protocol)來收取信件。POP3 通訊協定通常被用來將伺服器端的信件傳遞到用戶端上,IMAP 則允許使
用者在遠端處理伺服器上的信件(通常搭配 webmail 如, IMP, Twig, OpenWebmail 等使用)。
FTP 伺服器
FTP 伺服器就是就是檔案傳輸協定的伺服器產品,目前 Linux 上也存在有多種 FTP 伺服器與用戶端程式,目前
RedHat 中包含的是 Wu-FTPD 套件。 (建議使用安全性較高的 Proftpd )
網路新聞服務(News)
網路新聞就是 Usenet,這個系統是一個龐大的告示板系統,你可以得到各種資訊,包含有電腦、生活、藝術等等。網
路上的主機透過 Usenet,以 NNTP 通訊協定來互換文章。Linux 中亦有多個軟體可供使用者架設自己的 News 主機。
網域名稱系統服務(DNS)
先前提到 IP 與主機名稱位址的互換,除了用 hosts 檔案外,就是利用 DNS 伺服器。DNS 伺服器的工作方式是階層式
的分工,任一台 DNS 伺服器都有上層的 DNS 伺服器,直到根伺服器。因此,如果本身資料庫中無法得到某個 IP 或
網域的資料,DNS 主機就會再上層的主機查詢,再回應給使用者。目前 Linux 中是利用 bind 套件中的 named 的程式
來完成 DNS 的架設。
二、DHCP 動態 IP 管理分享
DHCP 全名為 Dynamic Host Configuration Protocol,主要用來動態分派 IP 給每一台連接網路的電腦。在分配 IP 的
同時,亦可同時設定網路遮罩、閘道器位址、網域名稱、DNS 伺服器位置等網路設定的相關資訊。藉此一方面可使 IP
的使用更具彈性,節省資源。亦可減輕網路管理人員的工作,當網路設定修改時,只要在 DHCP 伺服器中修改即可,
不必再到每一部電腦上修改設定。
在 Linux 上架設 DHCP 伺服器相當容易,一般 RedHat 版本在安裝時已將此套件安裝完畢,您也可至 rpmfind.net 或
www.redhat.com 取得相關的 rpm 套件。
A、安裝、設定 DHCP
安裝:rpm –ivh dhcp-3.0pl1-9.i386.rpm
主要的設定檔為 /etc/dhcpd.conf,接著以一個範例,說明各項設定值的意義:
ddns-update-style ad-hoc;
ddns-update-style interim;
default-lease-time 600; //預設 IP 的釋出時間
max-lease-time 7200; //最大的 IP 釋出時間
option subnet-mask 255.255.255.0; //子網路遮罩值
option broadcast-address 192.168.1.255; //子網路廣播位址
option routers 192.168.1.254; //預設闡道器
option domain-name-servers 168.95.1.1; //預設名稱伺服器 (DNS)
option domain-name "gctech.com.tw"; //網域名稱
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100; //可使用的 IP 位址,分別為 10 至 100,及
4
【加慶科技】 - Linux 伺服器管理
三、防火牆的概念與設定
IP Masquerade 主要工作就是網路位址轉換 NAT(Netword Address Translation),Linux 可藉由 NAT,將內部的虛擬 位
址轉送為合法 IP 的封包,成為一個內部與外部網路的闡道,內部電腦即可經由轉址服務而連上網際網路。
再進行設定前請先確定內部與外部 IP 位址均已設定完成(此時您的主機應該可 ping 到內外部主機),您可利用二張網
路卡分別連接內部及外部網路,亦可在一張網路卡上同時設定內部及外部位址,以下為一張網路卡的設定:
eth0 Link encap:Ethernet HWaddr 00:48:54:5D:06:AB
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:103719 errors:0 dropped:0 overruns:0 frame:0
TX packets:109294 errors:0 dropped:0 overruns:0 carrier:0
collisions:75 txqueuelen:100
Interrupt:10 Base address:0xe800
A、ipchains 與 iptables:
IP Chains 是防火牆在 Linux 上的實作版本,架設防火牆是為了預防外部未經授權的使用者存取內部的網路, 或管制
內部電腦資料的進出,任何進出的資料都要經過防火牆,只有通過防火牆規則的封包才能通行。
Firewall 的架構:
有三個基本的 chain,分別為 INPUT,FORWARD 及 OUTPUT。
INPUT 是 firewall 的第一個 chian,所有的 packet 都會先檢查這個 chain,只有不符合 deny 或 reject 條件的封包
5
【加慶科技】 - Linux 伺服器管理
B、常用參數說明
!:NOT,如 -s !192.168.2.1 代表不是來自 192.168.2.1 的封包。
-i:指定 interface,指定此規則所應用的介面上。
-j:定義這一條規則的目標(大寫),共有五種。
DENY 丟棄封包,且不通知來源機器。
ACCEPT 接受封包。
REJECT 丟棄封包,並通知來源機器。
REDIRECT 將封包重新導向到另一個 port。
MASQUERADE 封包由 IP MASQUERADE 模組管理。
-p: protocol 可以用名稱或號碼表來示,通常都是用名字來表示,例如 TCP,UDP,或是 ICMP。
-l 將封包的行為記錄下來,通常是放置在/var/log/kern.log。
iptables-save 列出現有防火牆設定
iptables-save > /etc/firewall 儲存目前防火牆的設定(可隨意設定名稱)。
iptables-restore < /etc/firewall 還原防火牆的設定。
以下舉幾個例子,說明規則設定的方式:
iptables –P input DENY //禁止所有封包進入
iptables –A input –s 192.168.1.0/24 –j ACCEPT //接受由 192.168.1.xxx 網路進入的封包
iptables –A input –s 192.168.3.0/24 –j REJECT //拒絕 192.168.3.xxx 網路進入的封包
iptables –A input –d 0/0 80 –p tcp –j DENY //停止所有 port 80 的進出
iptables -F //清除所有設定
四、DNS 設定管理
A、DNS 檔案 (File, RPM Info)
rpm -q bind 版本,說明基本資料
--------------------------------------------------------------------------------
/etc/named.conf DNS 主控設定檔
/var/named/domain.hosts DNS 正查設定檔
/var/named/domain.rev DNS 反查設定檔
/etc/sendmail.cf Sendmail Configuration(cf) 設定檔案
6
【加慶科技】 - Linux 伺服器管理
ns IN A 210.243.165.66
taching.com.tw. IN A 210.243.165.66
mail IN CNAME ns.taching.com.tw.
ftp IN CNAME ns.taching.com.tw.
www IN CNAME ns.taching.com.tw.
7
【加慶科技】 - Linux 伺服器管理
;-------------------------------------------
; DNS 反解檔(由 IP 反解出 Domain Name)
;-------------------------------------------
$TTL 259200 ; minimun Time-To-Live = 3 days
;-------------------------------------------
; Start Of Authority 宣告管轄這個網域的 DNS
; 其 Domain Name。
;--------------------------------------------
@ IN SOA dns.domain1.com.tw. root.dns.domain1.com.tw. (
2001020701 ; Serial 這是 2001 年 2 月 7 日第一次更改
4H ; Refresh
2H ; Retry
1W ; Expire
1D ) ; For Negative Caching
;--------------------------------------------
; 本網域的主要 Name Server,協助 DNS 的查詢速率
;--------------------------------------------
IN NS ns1.domain1.com.tw. ; 本機 dns
IN NS ns2.domain1.com.tw. ; slave
;--------------------------------------------
; Domain Name Pointer
; 網域內的 IP,全部表列出來。
;--------------------------------------------
65 IN PTR client65.domain1.com.tw.
66 IN PTR client66.domain1.com.tw.
67 IN PTR client67.domain1.com.tw.
zone "domain2.com.tw"{
type master;
file "domain2.hosts";
notify yes; };
zone "chuang.com"{
type slave;
file "sec/chuang.com";
8
【加慶科技】 - Linux 伺服器管理
notify yes; };
B、DNS 基本正查與反查的操作
DNS 設定檢查,以 nslookup 指令做各種 DNS 基本正查與反查的操作
------------------------------------------------------------------
以 nslookup 指令做各種基本正查與反查的操作
------------------------------------------------------------------
> server 168.95.1.1 <--- 設訂 DNS D
> ns3.kimo.com.tw
Server: dns.hinet.net
Address: 168.95.1.1
------------------------------------------------------------------
檢查 Mail eXchange 設定
------------------------------------------------------------------
> set type=mx
> kimo.com.tw
Server: dns.hinet.net
Address: 168.95.1.1
Non-authoritative answer: kimo.com.tw
------------------------------------------------------------------
Non-authoritative 表示回應的資料取自 cache
------------------------------------------------------------------
preference = 10, mail exchanger = smtp.kimo.com.tw <--- MX 10
Authoritative answers can be found from:
kimo.com.tw
nameserver = NS1.kimo.com.tw
kimo.com.tw nameserver = NS2.kimo.com.tw smtp.kimo.com.tw
internet address = 210.59.144.203 NS1.kimo.com.tw
internet address = 210.59.144.1 NS2.kimo.com.tw
internet address = 210.59.145.1
------------------------------------------------------------------
反查檢查
------------------------------------------------------------------
> set type=ptr
9
【加慶科技】 - Linux 伺服器管理
> 3.144.59.210.in-addr.arpa.
Server: dns.hinet.net
Address: 168.95.1.1
五、Sendmail 郵件服務管理
A、local-host-names, Relay, 權限設定與管理
/etc/sendmail.cf
搜詢 smtp 找到此行 ----> O DaemonPortOptions=Port=smtp,Addr=127.0.0.1, Name=MTA
將 IP 改為主機 IP 或將此行註解起來後重新啟動 sendmail /etc/rc.d/init.d/sendmail restart
重新啟用後即可收信.
/etc/mail/local-host-names
將主機所有代管的信箱名稱寫入一行一個網域, 例如, mail.abc.com.tw
/etc/mail/access
設定完之後, 必須將 access 的設定內容轉成資料庫檔才能使設定生效.
makemap hash /etc/mail/access.db </etc/mail/access
開啟 ipop3 服務:
/etc/xinetd.d/ipop3
將 disable = yes 改為 disable = no
POP3 仍設成 Mai 主機, 但 SMTP 必須設為撥接上線時的 ISP 公司的 Mail 主機.
如果要使用 您的 Linux 來發信必需要將遠端 IP 加入 access 檔案並重新 makemap 後才能發信.
C、安全問題: 如何製作匿名信件?
1.先 telnet 到某一台有跑 sendmail 主機, 並指定連上 port 號 25
10
【加慶科技】 - Linux 伺服器管理
telnet hacker.ols3.com.tw 25
該主機會回應自己的 hostname 及所使用的協定. 如下所示:
220 hacker.ols3.com.tw ESMTP Sendmail 8.9.3/8.9.3; Sun, 18 Jul 1999 15:37:13 +08 00
hacker 這台主機回應說它現在正跑 ESMTP (SMTP 的加強版), sendmail 的版本是 8.9.3
2. 偽造自己的 domain
helo fool.com.tw
該主機會回應歡迎的訊息, 如下所示:
250 hacker.ols3.com.tw Hello [192.168.54.4], pleased to meet you
3. 偽造發信人
mail from: jack@fool.com.tw
該主機會回應以下訊息, 表示發信人的位址被接受了.
250 jack@fool.com.tw... Sender ok
4. 指定收信人
rcpt to: ols3@hacker.ols3.com.tw
該主機會回應以下訊息, 表示收信人的位址被接受了.
250 ols3@hacker.ols3.com.tw... Recipient ok
5. 送出信件內容
送出信件內容之前, 應先通知對方:
data
該主機回應如下, 表示你可以開始送出信件內容, 信件結束時用 . 號檔結尾符號
354 Enter mail, end with "." on a line by itself
Hi, this is a email test ...
該主機回應:
250 PAA01122 Message accepted for delivery
表示信件件已被接收了.
6. 離線
quit
以下是這封信的表頭:
Return-Path: <jack@fool.com.tw>
Received: from fool.com.tw (ols3-note.ols3.com.tw [192.168.54.4])
by hacker.ols3.com.tw (8.9.3/8.9.3) with SMTP id PAA01122
for ols3; Sun, 18 Jul 1999 15:46:01 +0800
Date: Sun, 18 Jul 1999 15:46:01 +0800
11
【加慶科技】 - Linux 伺服器管理
From: jack@fool.com.tw
Message-Id: <199907180746.PAA01122@hacker.ols3.com.tw>
Status:
12
【加慶科技】 - Linux 伺服器管理
或者您自行把網頁放入 /usr/local/apache/htdocs 中
把 cgi-bin 的檔案放入 /usr/local/apache/cgi-bin 中
9.先殺原有的 Apache
/etc/rc.d/init.d/httpd stop
10.啟動新的 Apache
/usr/local/apache/bin/apachectl start
10. 設定開機自動載入新的 Apache 將 /usr/local/apache/bin/apachectl start
放入 /etc/rc.d/rc.local 檔末即可
<VirtualHost 210.243.165.66>
DocumentRoot /home/taichico/html
ServerName www.ABC.com.tw
ScriptAlias /cgi-bin/ /home/taichico/cgi-bin/
ErrorLog /home/taichico/html/logs/error-log
TransferLog /home/taichico/html/logs/access_log
</VirtualHost>
C、權限 & 密碼 設定
<VirtualHost 210.243.165.66>
DocumentRoot /www/taching/cam
ServerName cam.taching.com.tw
<Directory /www/taching/cam>
AuthName "保密區 – 閒人勿近"
AuthType Basic
AuthUserFile /www/taching/cam/users
require valid-user
13
【加慶科技】 - Linux 伺服器管理
</Directory>
</VirtualHost>
A、/etc/smb.conf 基本設定
接下來的範例將使用 NT PDC 為登入密碼主機,請將原始 smb.conf 做好備份. 更換以下 smb.conf。 當然您要先注意
一些註解的部份修改.
/etc/smb.conf 或是 /etc/samba/smb.conf
[global]
; 群組 = NT-Domain-Name or Workgroup-Name
workgroup = nt
; 這台主機的名稱
netbios name = LinuxServer
; 這台主機的備註
server string = Linux Samba Server
; 記錄檔 及大小
log file = /var/log/samba/log.%m
max log size = 50
; 使用 NT server 的密碼認證
security = server
; NT 主機名稱
password server = altos
; 向工作站宣佈 SAMBA 為此網域之 Primary Domain Controller.
domain logons = no
; 主機效能微調
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
; 內部網域的 IP 的範圍
interfaces = 192.168.12.2/24 192.168.13.2/24
; 允許讀取的機器 及 區段
hosts allow = 192.168.1. 192.168.2. 127. 203.69.118. 210.243.165.
; 設定中文 BIG5 字碼環境
client code page = 950
valid chars = 0xb9
; 資源分享設定
[homes]
comment = User Directories
writable = yes
browseable = no
read only = no
# 新建檔案安全權限 700 只供 owner 可 rwx
create mode = 0700
14
【加慶科技】 - Linux 伺服器管理
[tmp]
comment = Temporary file space
# 開放之目錄
path = /tmp
read only = no
public = yes
# 新建檔案安全權限 777 全部用戶都可 rwx
create mask = 0777
Server Comment
--------- -------
NS Linux Samba Server
Workgroup Master
--------- -------
NT ALTOS
TC NS
5.查看 nmdb 有無正常 : nmblookup -B server __SAMBA__
# nmblookup -B nsnmblookup -B server __SAMBA__
Sending queries to 192.168.1.1
15
【加慶科技】 - Linux 伺服器管理
192.168.1.1 __SAMBA__<00>
6.檢查分享的連線 smbclient '\\BIGSERVER\TMP” 然後輸入 password
7.在 Windows 下 瀏覽 samba 主機: net view \\sambaserver
在 Windows 下連線 samba 目錄\tmp 為磁碟機: net use x: \\sambaserver\tmp
16