Linux下的邮件系统概述网络服务器(精选12篇)
在Linux下有许多软件包可以实现标准的邮件服务。UNIX/Linux的电子邮件系统模型基本可分为邮件传递代理MTA,邮件存储和获取代理MSA,以及邮件客户代理MUA三大模块。虽然也有一些特殊的邮件应用程序无法确切归入上述分类。下面我们就Linux邮件服务做一概述。
1、邮件传递代理-MTA
在Linux下的邮件传递代理包括 sendmail,该系统几乎在任何UNIX平台上都有相应的版本;还有D.J. Bernstein的qmail以及Wietse Venema的Postfix系统。它们负责接收并转递邮件。这听起来很简单,实际上设置可能相当复杂。在邮件策略管理时需要设置一系列的路由和伪装选项,而许多功能是由语言编程实现的,用以过滤或者修改中继消息的头信息。此外邮件路由和寻址邮件存储信箱的过程包含了复杂的与各种目录服务交互操作,这些目录服务可能包括DNS,密码文件,NIS, LDAP别名/数据库管理文件,以及各种的通用数据库系统。
如今的MTA还要实现反垃圾邮件功能,控制邮件头的to和from地址格式,达到允许或者限制特定域名或者地址范围目的,以上主要是通过修改存取控制表和规则实现。这一过程通常包括查询数据表或者目录服务,例如Paul Vixie的实时黑洞列表程序RBL,邮件滥用预防系统MAPS,以及同类的Dorkslayer/ORBS系统。MTA一直在不断增强之中,以实现加强的策略控制以及反病毒和反蠕虫等功能。
在大多数情况下,安装和设置MTA系统比较容易,不过强大的功能的实现是以高度复杂性为代价的。如果你所在的机构选择定制的MTA来满足特定的路由,体系,安全性和反垃圾邮件等要求,就需要更加复杂的设置选项,配置包括设计并处理MTA和各种子系统如LDAP、DNS服务器之间的复杂关系。
2、邮件存储和获取代理MSA
一旦安装并设置完成了MTA,通常还需要对MSA系统进行同样的配置过程。如今大多数机构并不直接将邮件传送到桌面客户系统,而是将邮件存储到服务器,让用户通过POP或者IMAP来读取各自的邮件。 邮件存储的管理有许多种协议,但如今最常用的是POP3和IMAP4。对于MTA来说,由一些程序,或者称之为Daemon来实现相应协议的服务。大多数MSA可以与通用的MTA交互,此外这些系统还包含加锁或者其他安全机制,使得多个MSA可以并行工作而不发生冲突。
这意味着一些用户可以通过POP协议获取邮件而同时其余一些用户可以使用IMAP协议,而另外一些用户可以登录系统,使用本地MUA例如pine,mutt或elm 处理邮件。单独用户也可以从一种存取协议切换到另一种,而并不需要系统管理员的干预。聪明的用户甚至可以越过通常的MSA/MUA服务,而使用通常的 UNIX命令如cp、mv和ftp或者远程同步rsync来随意处置他们的邮件。对普通用户来说这有些艰涩,但该方法有时可以用来方便地修复崩溃了的邮箱系统,
在一个已经安装了Linux系统机器上设置POP服务相当容易,甚至不需要什么操作。通常POP Daemon在最初的Linux操作系统安装时已经设立。而如果POP daemon被禁止,可以在/etc/.netd.conf文件中去掉相应行的注释,并重新启动Daemon服务即可。
类似的, IMAP也是如此。POP通常将邮件转递到客户端并从服务器上移除,而IMAP允许用户将邮件存贮在服务器端的文件夹中,而客户端的拷贝是缓存或者工作副本,这样做需要更多的服务器存储空间,却可以让IT部门集中在服务器端进行备份和恢复,并让客户端保持相当的灵活性和安全性。IMAP也可以设置成象 POP那样在客户端读取后就删除服务器端的邮件,从操作上讲,两者并没有什么不同。两种服务都由inetd来控制,或可称其为网络分发服务,相当于 Linux的“传达接待员”。 POP或IMAP可以经年累月的不间歇地运行。无需特殊关照,默默地为成百上千个用户和邮箱服务。不过有时邮件回复系统会犯些愚蠢的错误,或者有些邮件软件产生了一些bug,这就需要系统管理员介入,解决某些系统故障,清除一些邮件碎片和垃圾。
例如,有的用户的pop系统可能崩溃,通常是由于客户收到了太大的邮件附件所致。过大的附件文件超过了磁盘空间限制,解决方法是利用shell命令,利用uudecode解码附件,并存储到该用户的home目录。也可以设计一些小脚本程序来处理邮件,重新恢复用户的邮箱系统。通常UNIX下的mbox是简单的文本文件,qmail邮件存储在含有单个小文本文件的目录中。一个胜任的系统管理员完全可以轻而易举的实现上述操作。也就是说,你所遇到的大多数与 MSA和MTA有关的问题可以通过文本编辑器和常用的UNIX过滤器和应用程序加以解决。
3、邮件客户代理MUA
邮件客户代理MUA种类繁多,而且如雨后春笋,层出不穷,各有千秋。大都符合POP和IMAP协议。这也包括微软的Outlook系列。在Linux下,许多人使用fetchmail抓取邮件并保存在本地邮箱。然后使用任何一种邮件客户代理MUA,比如elm,pine,mutt,MH/exmh,EMACS 的rmail,vmail,mh-e,gnus以及大量的带有GUI界面的如Balsa, Mahogany等来处理邮件。也有众多Linux用户选择使用Netscape Communicator内置的邮件客户端。
4、另类的Linux邮件应用
在Linux和UNIX下,也有许多工具诸如procmail,vacation,biff,和fetchmail等,不能划归到MTA,MSA,MUA的分类中。这里做另类简介。 promail经常被用作“本地递送代理”和邮件处理代理。它通常用来过滤发送给最终收信人的传送信息部分。允许用户编写脚本程序实现对某些特定邮件的自动发文,拒绝,恢复或者转寄功能。也可以用作处理邮箱,或者作为常规的电子邮件编程语言和程序库。
vacation是一个收信后自动回复邮件的早期简单应用。最初用来提醒通信者收信人正在度假,这一功能完全可以通过两行简单的procmail命令实现。 biff可用来通知用户有邮件到达。在图形界面GUI下,也有几款类似的应用,可以通过显示图标,动画,播放音乐或者语音提示表达邮件事件。还可以通过各种后台的MSA协议实现biff信息在整个网络上的中继传递。
总之,Linux下的邮件服务是方便灵活,强大而复杂的。只要精心规划,悉心设计,细心配置,完全可以搭建出高效而免费的多功能电子邮件系统平台。
美籍匈牙利科学家冯·诺依曼最早提出程序存储的思想, 并成功将其运用在计算机的设计之中, 根据这一原理制造的计算机被称为冯·诺依曼结构计算机, 世界上第一台冯·诺依曼式计算机是1949年研制的EDSAC, 由于他对现代计算机技术的突出贡献, 因此冯·诺依曼又被称为“计算机之父”。而计算机在近几年发展很快, 也发生了很大的变化, 现代计算机发展之快, 以至计算机操作系统也出现了多样化, 操作系统是控制其他程序运行, 管理系统资源并为用户提供操作界面的系统软件的集合, 同时也是计算机系统的内核与基石。操作系统具有资源管理、程序控制和人机交互等功能。计算机系统的资源主要包括设备资源和信息资源两大类, 其中设备资源是指组成计算机的硬件设备, 如中央处理器, 主存储器, 磁盘存储器, 打印机, 磁带存储器, 显示器, 键盘输入设备和鼠标等。信息资源指的是存放于计算机内的各种数据, 如知识库, 文件, 程序库, 系统软件和应用软件等。
2 Linux技术发特点
Linux操作系统是一个开源产品, 也是一个开源软件的实践和应用平台, 在这个平台下由无数的开源软件支撑, 常见的有Apache、Tomcat、My SQL、PHP等。开源软件的最大理念是自由、开放, 那么Linux作为一个开源平台, 最终要实现的是通过这些开源软件的支持, 以最低廉的成本, 达到应用性能的最优化。但是, 系统的性能问题并非是孤立的, 解决了一个性能瓶颈, 可能会出现另一个性能瓶颈, 所以说性能优化的最终目的是:在一定范围内使系统的各项资源使用趋于合理并保持一定的平衡, 即系统运行良好的时候恰恰就是系统资源达到了一个平衡状态的时候。而在操作系统中, 任何一项资源的过度使用都会破坏这种平衡状态, 从而导致系统响应缓慢或者负载过高。例如, CPU资源的过度使用会造成系统中出现大量的等待进程, 导致应用程序响应缓慢, 而进程的大量增加又会导致系统内存资源的增加, 当物理内存耗尽时, 系统就会使用虚拟内存, 而虚拟内存的使用又会造成磁盘I/O的增加并加大CPU的开销。因此, 系统性能的优化就是在硬件、操作系统、应用软件之间找到一个平衡点。操作系统的发展与计算机技术的发展是紧密相关的, 近几年国内外服务器操作系统发展的主要趋势是:
(1) 支持高安全性。 (2) 支持高可用性支持64位。 (3) 支持大文件、多磁盘的文件系统, 尤其是对网络存储的支持。 (4) 支持新一代网络协议。 (5) 支持实时处理。 (6) 支持可伸缩性, 采用微内核、模块化、面向对象等技术。 (7) 支持分布式处理。 (8) 标准化和可兼容性增强。 (9) 支持国际化和本地化。
3 计算机网络Linux系统应用
Linux的版本号又分为两部分:内核 (Kernel) 版本和发行 (Distribution) 版本。内核版本的序号由3部分数字构成, 其形式如下:major.minor.patchlevel。
国外主要发行版本: (1) Red Hat Linux; (2) Su SE Linux; (3) Debian Linux; (4) Mandrake Linux。Linux过去主要用于服务器的操作系统, 但是由于它很廉价, 又具有灵活性, 再加上它的背景, 使其很适合作更广泛的应用。传统上有以Linux为基础的“LAMP”经典技术组合, 提供了包括操作系统、数据库、网站服务器、动态网页的一整套网站架设支持。而面向更大规模级别的领域中, 如数据库中的Oracle、DB2、Postgre SQL, 以及用于Apache的Tomcat JSP等都已经在Linux上有了很好的应用样本。除了已在开发者群体中广泛流行, 它亦是现时提供网站务供应商最常使用的平台。
采用Linux的超级电脑亦愈来愈多, 根据2005年11月号的TOP500超级电脑列表, 现时世上最快速的两组超级电脑都是使用Linux作为其操作系统。而在表列的500套系统里, 采用Linux为操作系统的, 占了371组 (即74.2%) , 其中的前十位者, 有7组是使用Linux的。2006年开始发售的SONY Play Station 3亦使用Linux的操作系统。之前, Sony亦曾为他们的Play Station 2推出过一套名为PS2 Linux的DIY组件。至于游戏开发商雅达利及id Software, 都有为其旗下的游戏推出过Linux桌面版本。此外, Linux Game Publishing亦有专门为Linux平台撰写游戏, 并致力于把其他在Windows平台编撰的游戏程序码转携至Linux平台, 及为转携游戏提供使用授权。而一个打算对所有生活在发展中国家孩子提供手提电脑的名为每孩子皆有一部手提电脑 (OLPC) 的项目, 正是使用Linux作为缺省的操作系统。
4 配置局域网Linux服务器
目前, 在整个服务器操作系统市场格局中Linux服务器操作系统占据的市场份额已经越来越多, 并且形成了大规模市场应用的局面。Linux现在已经引起了全世界IT产业的高度关注, 未来很有可能成为服务器操作系统领域中的中坚力量。我国作为发展中国家, 各行各业都在积极、高效、快速平稳的进行信息化建设, 逐步形成了“以信息化带动工业化”的势头。服务器操作系统为企业、政府及其它领域的信息系统提供了基础使用环境。目前, Linux服务器产品在服务器操作系统领域占据相当的市场份额, 并且保持着快速的增长率, 已经被广泛的应用在了政府、金融、农业、交通、电信等国家关键领域。
随着金融电子化的不断发展, 现在基本上所有的交易都是在互联网上完成的, 通过计算机网络通存通兑交易和资金的转移可以在瞬间完成交易, 此时采用传统的内控和风险防范手段效果并不明显, 要想有效的解决金融信息安全问题, 维护国家经济安全, 需要应用国产基础软件和风险防范控制软件, 这说明了国产操作系统的重要性及市场的广阔性。在电信领域未来的应用趋势是基于IP的数据通讯融合, 在这种情况下, 其对服务器系统的需求一定会加大, 但是在电信领域国产服务器操作系统所占据的市场比例是很小的, 整体占有率低于10%, 因此, 在这个领域国产服务器操作系统应该会有较好的应用前景。
上述政府、金融、交通和电信等市场的形成, 为开源的高端Linux服务器操作系统提供了巨大的市场空间。可以预计, 在未来的一段时间内, Linux服务器操作系统不但将在中小型服务器得以快速部署, 在国产高性能计算领域, 也必将凭借其开源、自主、适应力强的特性成为主力。
参考文献
[1]M.Smith, R.Hunt.Network security using NAT and NAPT.Networks 2002.10th IEEE International Conference on Augest2002:355-360.
[2]施势帆, 吕建毅.Linux网络服务器实用手册[M].北京:清华大学出版社, 1999年7月, ISBN7-900617-86-8.
[3]王华萍.基于Linux的嵌入式系统研究及防火墙应用[D].浙江大学, 2002.
[4]王卫国.嵌入式Linux在高速数据采集系统中的应用研究[D].西北工业大学, 2004.
rdate -s tick.greyware.com
可以写个脚本放在/etc/cron.hourly中每小时校正一下时间。
如果是内网环境下,可以自己配置一个时间服务器,以CentOS为例,配置时间服务器的方法如下:
1.先安 inetd : sudo yum install -y xinetd
2.修改/etc/xinetd.d/time-stream, 修改:
disable = yes 改为
disable = no
3.启动xinetd
service xinetd start
这样其它机器就可以通过rdate 与该机器进行时间同步
(二)一、实验目的:掌握Linux系统中DHCP服务器、WEB服务器的配置方法。
二、实验属性:验证型
三、实验环境
每人一台安装有RHEL 6.0操作系统的计算机;
四、实验内容
配置DHCP服务器、DNS服务器、五、实验步骤
Dhcp
1、为服务器计算机设置固定的IP地址,并验证该地址的可用性。(如果在虚拟机中使用,则需要将网卡的联网方式设置为桥接)
2、查询并安装相应的服务软件包。
3、开启服务进程
4、修改相关的配置文件
5、重启服务进程
6、在客户端测试服务是否可用
在自己的电脑上没办法获取ip 但是在实验室的主机上可以获取
Dns
1、为服务器计算机设置固定的IP地址,并验证该地址的可用性。(如果在虚拟机中使用,则需要将网卡的联网方式设置为桥接)
2、查询并安装相应的服务软件包。
3、开启服务进程
4、修改相关的配置文件
5、重启服务进程
6、在客户端测试服务是否可用
六、心得体会。
复制内容到剪贴板
Groupadd fileshare
Useradd –s /sbin/nologin file
Smbpasswd –a file
注意:访问共享的用户必须为samba用户,不能使用其他用户;
7、修改sambe配置文件;命令如下:Vim /etc/samba/smb.conf;
8修改samba配置文件全局设置;
复制内容到剪贴板
#==============================Global settings===============
[global] workgroup = WORKGROUP server string = Samba Server security = share
9、设置文件夹共享,如下:[sharefile] path = /home/sharefile public = yes read nly = yes
10、重启smb服务;Service smb restart;
11、Windows 访问共享成功,在Linux系统的运维过程中, 日志很重要也非常有用。系统管理员往往通过日志对Linux服务器进行监管。当一些设备或者操作错误时, 日志的查看将是排除故障中至关重要的步骤。
在日常的小事件中, 日志可能起不到至关重要的作用, 但在系统安全相关的问题上, 日志的作用将非常重要。比如我的服务器瘫痪了, 什么原因瘫痪的, 受到了来自哪个ip的攻击, 这个ip做了哪些破坏, 这些日志都能为你揭开谜底。讲解到这里可能有些读者认为作者描述不严谨, 系统瘫痪了还能查看到日志吗?当然, 如果你是在单个主机上接收日志的情况, 那就要看你的机器的破坏程度了, 而为了更好的对日志进行保护, 一般采用将日志信息保存到一个叫做“数据中心”的日志服务器上, 有日志服务器对日志进行统一的管理、查找与分析。接下来我们来介绍如何搭建、配置与管理日志服务器。
2 问题描述
搭建、配置与管理日志服务器首先要准备相应的服务器硬件;然后在准备的硬件基础的Linux系统下安装日志服务器;而后设置如何从你的主机上获取日志;最后可以进行简单的测试, 用来检验日志管理。
前提说明, 日志服务器的管理过程中我们使用Redhat Linux 6.1中自带的rsyslog, 标准的系统日志, 并且通过文件/etc/rsyslog.conf进行管理。
日志服务器的架构如图1所示。
接下来进行日志服务器的搭建、配置、管理与测试。
3 实施步骤
步骤一:环境准备。在VMware下克隆两台计算机系统, 名称为rsyslogserver与rsyslogclient。选择虚拟机-->管理-->克隆, 如图2所示。
单击“下一步”, 选择克隆状态, 默认“虚拟机的当前状态”即可, 如图3所示, 如果已经存在快照也可克隆快照。选在虚拟机的当前状态, 再次点击“下一步”选在如何克隆虚拟机, 这里选在“创建一个链接克隆”即可。
再次点击“下一步”, 需要输入虚拟机的名称和存储的虚拟机克隆后存储的位置如图4所示, 单击完成出现如图5所示画面创建虚拟机rsyslogserver成功, 使用同样的方法创建虚拟机rsyslogclient。
启动两台机器, 设置网络连接方式为NAT, 服务器的ip为192.168.126.135, 客户端的IP为192.168.126.136, 互相ping通对方主机。
步骤二:客户端设置。使用vim/etc/rsyslog.conf打开客户端配置文件, 注释掉*.info;mail.none;authpriv.none;cron.none和authpriv.*两行, 增加*.*@192.168.126.135。
说明1:@后面跟ip地址, 表示将客户端的所有日志信息保存到@后面的ip地址的日志服务器主机之上。
说明2:@表示采用UDP协议进行数据传输, @@表示采用TCP协议进行传输, UDP协议传输效率比较高, 但是TCP协议更有保障。
说明:再次强调, 在所有的服务器配置过程中只要修改相应服务的配置文件, 必须重启系统服务才能生效。
步骤三:服务器端设置。
说明1:“|”之前的表达式表示在/etc/rsyslog.conf中查找开头字母不是#号的, 表示查找/etc/rsyslog.conf中所有不是注释的行。
说明2:“|”表示管道, 其实就是将其之前的输出作为之后的输入。表示在前面的结果中查找开头字母不是$的行。
修改配置文件只需开启两个模块和协议支持的端口。我们需要载入合适的TCP和UDP插件以支持接收系统日志, 载入的这两个模块能支持监听TCP和UDP的端口, 并且指定哪个端口来接受事件, 在这种情况下, 使用TCP和UDP的514端口。你需要确认一下本地防火墙是否开启。
说明:$Mod Load imudp#开启支持udp的模块
$UDPServer Run 514#允许接收udp 514的端口传来的日志
Mod Load imtcp#开启支持tcp的模块
$Input TCPServer Run 514#允许接收tcp 514的端口传来的日志
说明:再次强调, 在所有的服务器配置过程中只要修改相应服务的配置文件, 必须重启系统服务才能生效。我们反复的强调是希望读者能够记住。
步骤四:测试。
客户端
说明:logger命令用来生成一条日志写到日志中;-p指定日志的level;“”中是你要写入的日志的信息。在我们的查看过程中没有看到我们生成的日志, 是因为我们在客户端的设置中将相应信息禁用掉了。
服务器端
说明:我们发现, 并没有收到来自客户端的日志信息, 这是因为我们没有对防火墙进行设置, 也就是我们的前期准备到派上有场的时候了, 我们可以设置防火墙规则, 也可以禁掉防火墙。
说明:我们在日志服务器端收到了来自客户端的日志服务。
4 总结
综上所述, 日志服务关系到服务器的稳定性, 以及服务器出错后的排错, 因此服务器的搭建非常重要。文章在VMware环境下的Linux系统下完成了日志服务器的搭建与测试。
参考文献
[1]鸟哥.鸟哥的Linux私房菜基础篇 (第三版) [M].机械工业出版社, 2009.7.
[2]鸟哥.鸟哥的Linux私房菜服务器架设篇 (第三版) [M].机械工业出版社, 2009.7.
[3]王海宾, 刘霞.Linux应用基础与实训[M].清华大学出版社, 2015.7.
课件 教案 试题 论文 图书 中考 高考 新课标
采用服务器端嵌入式脚本语言PHP3进行Linux下的网站开发 ux下安装,不过如果用于商业用途需要付费.PostgreSQL也是Linux下的免费数据库,RedHat5里面就带了,不过我没有用过,就不说了.mSQL与MySQL既然本来就是差不多的两个东西,PHP中对它们的访问语句也都差不多,例如msql_close与mysql_close就分别完成同样的关闭动作.所以以下介绍时只对mysql介绍,msql的访问语句只需换个前缀即可(特殊情况另行说明).注意:mSQL与MySQL访问函数都需要有相应的权限才能运行.(1)mysql_connect(主机,用户名,口令);返回一个连接号.注意:mysql各用户的口令可以随该用户所在机器IP地址不同而改变.另外,mSQL没有用户名机制,所以msql_connect只需要一个主机参数.主机可以是IP地址或域名.(2)mysql_create_db(数据库名);(3)mysql_select_db(数据库名,连接号);连接一个数据库.(4)mysql_query(SQL语句,连接号);如果SQL语句是select,则返回一个结果号.否则返回的值可以不理会.如果失败,返回false.(5)mysql_fetch_array(结果号);取出下一行,返回一个数组.可以用数字下标访问(第一个字段是下标 0),《采用服务器端嵌入式脚本语言PHP3进行Linux下的网站开发》一文由中国搜课网搜集整理,版权归作者所有,转载请注明出处!
随着Internet/Intranet网络的日益普及,采用Linux网络操作系统作为服务器的用户也越来越多,这一方面是因为Linux是开放源代码的免费正版软件,另一方面也是因为较之微软的Windows NT网络操作系统而言,Linux系统具有更好的稳定性、效率性和安全性。在Internet/Intranet的大量应用中,网络本身的安全面临着重大的挑战,随之而来的信息安全问题也日益突出。以美国为例,据美国联邦调查局(FBI)公布的统计数据,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞呢?主要原因是很多人,尤其是很多网络管理员没有起码的网络安全防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安全机制,给黑客以可乘之机。在我国,由于网络安全研究起步较晚,因此网络安全技术和网络安全人才还有待整体的提高和发展,本文希望就这一问题进行有益的分析和探讨。
我们知道,网络操作系统是用于管理计算机网络中的各种软硬件资源,实现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。因此,详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
2 Linux网络操作系统的基本安全机制
Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制,如果这些安全机制配置不当,就会使系统存在一定的安全隐患。因此,网络系统管理员必须小心地设置这些安全机制。
2.1 Linux系统的用户帐号
在Linux系统中,用户帐号是用户的身份标志,它由用户名和用户口令组成。在Linux系统中,系统将输入的用户名存放在/etc/passwd文件中,而将输入的口令以加密的形式存放在/etc/shadow文件中。在正常情况下,这些口令和其他信息由操作系统保护,能够对其进行访问的只能是超级用户(root)和操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下,这些信息可以被普通用户得到。进而,不怀好意的用户就可以使用一类被称为“口令破解”的工具去得到加密前的口令。
2.2 Linux的文件系统权限
Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录,都有3组属性,分别定义文件或目录的所有者,用户组和其他人的使用权限(只读、可写、可执行、允许SUID、允许SGID等)。特别注意,权限为SUID和SGID的可执行文件,在程序运行过程中,会给进程赋予所有者的权限,如果被黑客发现并利用就会给系统造成危害。
2.3 合理利用Linux的日志文件
Linux的日志文件用来记录整个操作系统使用状况。作为一个Linux网络系统管理员要充分用好以下几个日志文件。
2.3.1 /var/log/lastlog文件
记录最后进入系统的用户的信息,包括登录的时间、登录是否成功等信息。这样用户登录后只要用lastlog命令查看一下/var/log/lastlog文件中记录的所用帐号的最后登录时间,再与自己的用机记录对比一下就可以发现该帐号是否被黑客盗用。
2.3.2 /var/log/secure文件
记录系统自开通以来所有用户的登录时间和地点,可以给系统管理员提供更多的参考。
2.3.3 /var/log/wtmp文件
记录当前和历史上登录到系统的用户的登录时间、地点和注销时间等信息。可以用last命令查看,若想清除系统登录信息,只需删除这个文件,系统会生成新的登录信息。
3 Linux网络系统可能受到的攻击和安全防范策略
Linux操作系统是一种公开源码的操作系统,因此比较容易受到来自底层的攻击,系统管理员一定要有安全防范意识,对系统采取一定的安全措施,这样才能提高Linux系统的安全性。对于系统管理员来讲特别是要搞清楚对Linux网络系统可能的攻击方法,并采取必要的措施保护自己的系统。
3.1 Linux网络系统可能受到的攻击类型
3.1.1 “拒绝服务”攻击
所谓“拒绝服务”攻击是指黑客采取具有破坏性的方法阻塞目标网络的资源,使网络暂时或永久瘫痪,从而使Linux网络服务器无法为正常的用户提供服务。例如黑客可以利用伪造的源地址或受控的其他地方的多台计算机同时向目标计算机发出大量、连续的TCP/IP请求,从而使目标服务器系统瘫痪。
3.1.2 “口令破解”攻击
口令安全是保卫自己系统安全的第一道防线。“口令破解”攻击的目的是为了破解用户的口令,从而可以取得已经加密的信息资源。例如黑客可以利用一台高速计算机,配合一个字典库,尝试各种口令组合,直到最终找到能够进入系统的口令,打开网络资源。
3.1.3 “欺骗用户”攻击
“欺骗用户”攻击是指网络黑客伪装成网络公司或计算机服务商的工程技术人员,向用户发出呼叫,并在适当的时候要求用户输入口令,这是用户最难对付的一种攻击方式,一旦用户口令失密,黑客就可以利用该用户的帐号进入系统。
3.1.4 “扫描程序和网络监听”攻击
许多网络入侵是从扫描开始的,利用扫描工具黑客能找出目标主机上各种各样的漏洞,并利用之对系统实施攻击。
网络监听也是黑客们常用的一种方法,当成功地登录到一台网络上的主机,并取得了这台主机的超级用户控制权之后,黑客可以利用网络监听收集敏感数据或者认证信息,以便日后夺取网络中其他主机的控制权。
3.2 Linux网络安全防范策略
纵观网络的发展历史,可以看出,对网络的攻击可能来自非法用户,也可能来自合法的用户。因此作为Linux网络系统的管理员,既要时刻警惕来自外部的黑客攻击,又要加强对内部网络用户的管理和教育,具体可以采用以下的安全策略。
3.2.1 仔细设置每个内部用户的权限
为了保护Linux网络系统的资源,在给内部网络用户开设帐号时,要仔细设置每个内部用户的权限,一般应遵循“最小权限”原则,也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限。这样做会大大加重系统管理员的管理工作量,但为了整个网络系统的安全还是应该坚持这个原则。
确保用户口令文件/etc/shadow的安全对于网络系统而言,口令是比较容易出问题的地方,作为系统管理员应告诉用户在设置口令时要使用安全口令(在口令序列中使用非字母,非数字等特殊字符)并适当增加口令的长度(大于6个字符)。系统管理员要保护好/etc/passwd和/etc/shadow这两个文件的安全,不让无关的人员获得这两个文件,这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。系统管理员要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击,一旦发现有不安全的用户口令,要强制用户立即修改。
3.2.3 加强对系统运行的监控和记录
Linux网络系统管理员,应对整个网络系统的运行状况进行监控和记录,这样通过分析记录数据,可以发现可疑的网络活动,并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施,则可以利用记录数据跟踪和识别侵入系统的黑客。
3.2.4 合理划分子网和设置防火墙
如果内部网络要进入Internet,必须在内部网络与外部网络的接口处设置防火墙,以确保内部网络中的数据安全。对于内部网络本身,为了便于管理,合理分配IP地址资源,应该将内部网络划分为多个子网,这样做也可以阻止或延缓黑客对整个内部网络的入侵。
3.2.5 定期对Linux网络进行安全检查
Linux网络系统的运转是动态变化的,因此对它的安全管理也是变化的,没有固定的模式,作为Linux网络系统的管理员,在为系统设置了安全防范策略后,应定期对系统进行安全检查,并尝试对自己管理的服务器进行攻击,如果发现安全机制中的漏洞应立即采取措施补救,不给黑客以可乘之机。
3.2.6 制定适当的数据备份计划确保系统万无一失
没有一种操作系统的运转是百分之百可靠的,也没有一种安全策略是万无一失的,因此作为Linux系统管理员,必须为系统制定适当的数据备份计划,充分利用磁带机、光盘刻录机、双机热备份等技术手段为系统保存数据备份,使系统一旦遭到破坏或黑客攻击而发生瘫痪时,能迅速恢复工作,把损失减少到最小。
4 加强对Linux网络服务器的管理,合理使用各种工具
4.1 利用记录工具,记录对Linux系统的访问
Linux系统管理员可以利用前面所述的记录文件和记录工具记录事件,可以每天查看或扫描记录文件,这些文件记录了系统运行的所有信息。如果需要,还可以把高优先级的事件提取出来传送给相关人员处理,如果发现异常可以立即采取措施。
4.2 慎用Telnet服务
在Linux下,用Telnet进行远程登录时,用户名和用户密码是明文传输的,这就有可能被在网上监听的其他用户截获。另一个危险是黑客可以利用Telnet登入系统,如果他又获取了超级用户密码,则对系统的危害将是灾难性的。因此,如果不是特别需要,不要开放Telnet服务。如果一定要开放Telnet服务,应该要求用户用特殊的工具软件进行远程登录,这样就可以在网上传送加密过的用户密码,以免密码在传输过程中被黑客截获。
4.3 合理设置NFS服务和NIS服务
NFS(Network File System)服务,允许工作站通过网络共享一个或多个服务器输出的文件系统。但对于配置得不好的NFS服务器来讲,用户不经登录就可以阅读或者更改存储在NFS服务器上的`文件,使得NFS服务器很容易受到攻击。如果一定要提供NFS服务,要确保基于Linux的NFS服务器支持Secure RPC(Secure Remote Procedure Call),以便利用DES(Data Encryption Standard)加密算法和指数密钥交换(Exponential Key Exchange)技术验证每个NFS请求的用户身份。
NIS(Network Information System)服务,是一个分布式数据处理系统,它使网络中的计算机通过网络共享passwd文件,group文件,主机表文件和其他共享的系统资源。通过NIS服务和NFS服务,在整个网络中的各个工作站上操作网络中的数据就像在操作和使用单个计算机系统中的资源一样,并且这种操作过程对用户是透明的。但是NIS服务也有漏洞,在NIS系统中,不怀好意的用户可以利用自己编写的程序来模仿Linux系统中的ypserv 响应ypbind的请求,从而截获用户的密码。因此,NIS的用户一定要使用ypbind的secure选项,并且不接受端口号小于1024(非特权端口)的ypserv响应。
4.4 小心配置FTP服务
FTP服务与前面讲的Telnet服务一样,用户名和用户密码也是明文传输的。因此,为了系统的安全,必须通过对/etc/ftpusers文件的配置,禁止root,bin,daemon,adm等特殊用户对FTP服务器进行远程访问,通过对/etc/ftphosts的设定限制某些主机不能连入FTP服务器,如果系统开放匿名FTP服务,则任何人都可以下载文件(有时还可以上载文件),因此,除非特别需要一般应禁止匿名FTP服务。
4.5 合理设置POP-3和Sendmail等电子邮件服务
对一般的POP-3服务来讲,电子邮件用户的口令是按明文方式传送到网络中的,黑客可以很容易截获用户名和用户密码。要想解决这个问题,必须安装支持加密传送密码的POP-3服务器(即支持Authenticated POP命令),这样用户在往网络中传送密码之前,可以先对密码加密。
老版本的Sendmail邮件服务器程序存在安全隐患,为了确保邮件服务器的安全,应尽可能安装已消除安全隐患的最新版的Sendmail服务器软件。
4.6 加强对WWW服务器的管理,提供安全的WWW服务
当一个基于Linux系统的网站建立好之后,绝大部分用户是通过Web服务器,利用WWW浏览器对网络进行访问的,因此必须特别重视Web服务器的安全,无论采用哪种基于HTTP协议的Web服务器软件,都要特别关注CGI脚本(Common Gateway Interface),这些CGI脚本是可执行程序,一般存放在Web服务器的CGI-BIN目录下面,在配置Web服务器时,要保证CGI可执行脚本只存放于CGI-BIN目录中,这样可以保证脚本的安全,且不会影响到其他目录的安全。
4.7 最好禁止提供finger 服务
在Linux系统下,使用finger命令,可以显示本地或远程系统中目前已登录用户的详细信息,黑客可以利用这些信息,增大侵入系统的机会。为了系统的安全,最好禁止提供finger服务,即从/usr/bin下删除finger 命令。如果要保留 finger服务,应将finger文件换名,或修改权限为只允许root用户执行finger命令。
5 结束语
由于Linux操作系统使用广泛,又公开了源码,因此是被广大计算机用户研究得最彻底的操作系统,而Linux本身的配置又相当的复杂,按照前面的安全策略和保护机制,可以将系统的风险降到最低,但不可能彻底消除安全漏洞,作为Linux系统的管理员,头脑中一定要有安全防范意识,定期对系统进行安全检查,发现漏洞要立即采取措施,不给黑客以可乘之机。本文所述的安全措施已在红旗Linux 1.0 和蓝点Linux上获得验证,并实际应用于我院图书馆计算机集成管理系统中,确保了我院图书馆计算机集成管理系统安全、稳定地运转。
参考文献
张小斌、严望佳。黑客分析与防范技术。北京:清华大学出版社,5月,ISBN7-302-03460-5/TP.1885 张轶博、孙占峰。Linux应用大全。北京:机械工业出版社,1月,ISBN7-111-07768-7 施势帆、吕建毅。Linux网络服务器实用手册。北京:清华大学出版社,197月,ISBN7-900617-86-8作者联系地址:安徽省淮南市洞山 淮南工业学院计算机科学与技术系 潘瑜
电子邮件:ypan@hnit.edu.cn
邮政编码:23 联系电话:0554-6647001(H),6668687(O),6668584(O)
FTP(File Transfer Protocol文件传输协议)服务器是一种传统的文件传输系统,也是当前互联网上比较实用的文件传输系统,以其管理简单和能够实现双向传输的优势,受到了国际互联网用户的普遍欢迎。
随着Internet/Intranet技术的迅速发展,许多公司、企业和网站开发了不少基于FTP(File Transfer Protocol文件传输协议) 的应用系统。尤其在Windows系统下,但是在涉及一些需要保密性极其高的行业时,Windows平台下的FTP服务器在安全性上的劣势就显而易见了。Linux操作系统是一个开源平台,其安全性好、价格低,越来越多对稳定性要求高的用户和对成本控制要求严格的电脑生产厂商都选择了Linux操作系统。因此,相对应的Linux下文件传输服务器的开发也是业界现在最重要的课题之一。
2 FTP服务器的设计
2.1基本原理
文件传输协议是Internet上的一个主要功能,其主要功能就是将文件从一台计算机传递到另一台计算机。本服务器使用的是自定义的FTP(File Transfer Protocol)协议。本服务器采用的是一种客户端/服务器(client/server)模式,在客户端和服务器端之间使用TCP协议建立连接。本服务器使用的FTP的组成及结构如图1所示。
2.2 FTP服务器工作过程
一般的FTP文件传输服务器所使用的数据端口取决于FTP的连接模式,一般分为主动模式(Active Mode)和被动模式(Pas-sive Mode)。本服务器采用的是自定义的FTP协议,所以端口(大于1024)由自己决定,并采用了类似一般FTP服务器数据连接中的主动模式。工作过程:
1)客户端打开一个动态选择的端口(1024以上)向服务器端自定义的控制端口(1024以上)发起连接,经过TCP的3次握手之后,建立控制连接。
2)客户端在控制连接上通知服务器自己所用的临时数据端口。
3)服务器接到通知之后与客户端的数据端口建立起数据连接,并开始传输数据。
2.3业务流程
详细研究用户需求后,确定服务器的业务流程如图2所示:
3实现开发平台及编译运行
硬件环境是Linux,编辑环境我们选择的是VI(Visual Inter-face),绝大多数情况下都是使用C语言为Linux开发应用程序, 目前Linux下使用最频繁的C语言编译器是gcc(GNU Compil-er Collection),它能够编译用C、C++和Object C等语言编写的程序,语言我们使用的是C语言,选用的是My SQL开发后台数据库。预期实现功能要求,在用户登录、文件创建、上传、下载、查询及删除等方面都测试运行通过。其中多用户登录测试运行界面截图如图3所示:
系统程序的安装和加载运行:
1)将文件传输服务器的服务器端代码和客户端代码复制一份到Linux平台的Ubantu系统下;
2)用gcc编译器分别编译服务器端和客户端代码,然后运行服务器;
3)在确保服务器运行之后,运行客户端,并在运行客户端时输入服务器的IP地址和自定义的端口号;
4)完成客户端登陆到服务器上之后,用户就可以通过命令在客户端上远程操作服务器上的文件。
4结论
经测试,该FTP服务器实现了局域网内用户登录、上传、下载、查询、删除文件资料等功能,并能在确保安全稳定的前提下,方便内部工作人员在工作中共享资源,使资源利用达到最大化。测试阶段发现的部分漏洞虽已修补,但仍存在一些不足,在后续工作中会继续予以改进:
1)由于设计时间较为仓促,没有交互界面的美化方面有所欠缺,因此用户界面的设计还有一定的完善空间。
2)在上传和下载文件时可能出现粘包问题,在上传文件时,客户端连续发送几次数据很可能被服务器端一次性接收, 可以采用应答模式解决此问题。
3)缓冲区不满的问题,在传输文件的时候,接受数据的缓冲区定义的有点大,接受到最后的时候,发送端发送的数据不足以填满缓冲区,就会出现接受文件数据已经完成,但是操作不能正常结束的问题。这里的解决方案是,在文件传送之前将要被传送的文件的大小信息先提取出来发送给接收端,然后再发送,一直到该文件剩余大小比缓冲区小的时候,就动态创建一个大小跟文件剩余大小一样的缓冲区,一次将剩余文件接收,这样就可以解决接收缓冲区不满的问题了。
摘要:目前的文件传输服务器大多是基于Windows操作系统的,很少有针对Linux系统。基于Linux平台,设计并实现了一种自定义FTP文件传输协议的系统,用C/C++作为开发语言编写实现的,并详细分析了该服务器的优势与不足。
关键词:FTP,服务器,Linux
参考文献
[1](美)W.Richard Stevens.TCP/IP详解卷1:协议[M].北京:机械工业出版社,2002.
[2]徐斌.当前嵌入式Linux分析与应用[J].电子制作,2015(2).
1. 为每种网络协议(IPv4、IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数), 这些钩子函数在数据报流过协议栈的几个关键点被调用,在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。
2. 内核的任何模块可以对每种协议的一个或多个钩子进行注册,实现挂接,这样当某个数据包被传递给Netfilter框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfilter将该数据包传入用户空间的队列。
3 .那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中,
4. 任何在IP层要被抛弃的IP数据包在真正抛弃之前都要进行检查。例如允许模块检查IP-Spoofed包(被路由抛弃)。
5.IP层的五个HOOK点的位置如下所示 :
(1)NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点(刚刚进行完版本号,校验 和等检测), 源地址转换在此点进行;IP_Input.c中IP_Rcv调用。
(2)NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点,INPUT包过滤在此点进行;IP_local_deliver中调用
(3)NF_IP_FORWARD:要转发的包通过此检测点,FORWORD包过滤在此点进行;
(4)NF_IP_POST_ROUTING:所有马上便要通过网络设备出去的包通过此检测点,内置的目的地址转换功能(包括地址伪装)在此点进行;
本搭建过程是基于FC5,且采用自带的SAMBA包;
一、概念
NFS(Network File System/网络文件系统):
1、设置Linux系统之间的文件共享(Linux与Windows中间文件共享采用SAMBA服务);
2、NFS只是一种文件系统,本身没有传输功能,是基于RPC协议实现的,才能达到两个Linux系统之间的文件目录共享;
3、NFS为C/S架构;
二、服务器配置
1、配置文件
主要配置文件为:/etc/exports
格式为: 共享目录 可mount主机IP(参数1,参数2,……)
如:/var/nfs 172.20.*.*(rw,sync,all_squash,anonuid=65534,anongid=65534)
说明:必须注意nfs/目录的访问权限,必须设置成777权限;父目录/var权限无要求,普通的755即可;
2、启动相关服务
然后依次启动相关服务:portmap,nfslock,nfs
3、检查共享目录
随后可以采用showmount Ce查看一下,看看共享的目录情况:
[root@ns var]# showmount -e
Export list for ns.osserver:
/var/nfs 172.20.*.*
OK,到此为止,NFS服务器搭建完毕;
三、客户端配置
1、确保portmap运行
客户端必须确保RPC协议相应的portmap正常运行,否则mount将失败;
2、挂载/var/nfs目录(本地挂载点为/mnt/nfs)
mount -t nfs 172.20.65.16:/var/nfs /mnt/nfs
成功mount以后,即可同本地目录一样随意操作;
四、其它相关命令
1、当修改了/etc/exports文件后,可以不用重新启动nfs服务,直接采用exports Crv 即可重新导出共享目录;
该命令格式如下:
exportfs [-aruv]
-a :全部mount或者unmount /etc/exports中的内容
-r :重新mount /etc/exports中分享出来的目录
-u :umount 目录
-v :在 export 的时候,将详细的信息输出到屏幕上,
Linux操作系统下NFS服务的搭建过程
,
具体例子:
[root@ns var]# showmount -e
Export list for ns.osserver:
/var/nfs 172.20.*.*
[root@ns var]# exportfs Cau #全部卸载
[root@ns var]# showmount -e
Export list for ns.osserver:
针对SUSE Linux系统下非固定IP接入的ADSL入网方式不能直接浏览地震波形的问题,介绍了解决这一问题的方法,该方法已在沈阳地震台和牡丹江地震台实践取得了成功.
作 者:马莉 马宝君 Ma Li Ma Baojun 作者单位:马莉,Ma Li(中国辽宁,110161,沈阳地震台)
马宝君,Ma Baojun(中国黑龙江,157009,牡丹江地震台)
【Linux下的邮件系统概述网络服务器】推荐阅读:
linux文件系统基础02-05
构建嵌入式linux系统10-25
《Linux 操作系统》课程教学心得10-08
Linux操作系统的权限代码分析06-29
《Linux操作系统》理论教学大纲07-22
基于硬盘安装方式的LINUX系统安装03-14
Linux系统工程师的工作职责11-15
热力系统概述01-17
生态系统概述教案05-24
注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com
扫一扫微信支付
