【引用】ubuntu服务器配置－（四）

4.11.1.?安装

* 在终端提示符后输入下列命令安装 Squid 服务器：

sudo apt-get install squid squid-common

4.11.2.?配置

* Squid 可以通过编辑在 /etc/squid/squid.conf 配置文件中的语句来进行配置。下面的范例说明一些语句的修改可能对 Squid 服务器的影响。更多 Squid 的配置可以参阅参考章节。 在编辑配置文件之前，您应该生成一份原始文件副本并对其进行写保护，以便您可以将原始文件作为参考并在必要时重用它。 要拷贝 /etc/squid/squid.conf 文件并对其进行写保护，可以在终端提示符后使用以下命令：

sudo cp /etc/squid/squid.conf /etc/squid/squid.conf.original6N5Linux联盟
sudo chmod a-w /etc/squid/squid.conf.original

o 要将您的 Squid 服务器监听 TCP 端口 8888 以代替缺省的 TCP 端口 3128，可以如下所示修改 http_port 语句：6N5Linux联盟
+

http_port 88886N5Linux联盟
o 改变 visible_hostname 语句是为了给 Squid 服务器一个特定的主机名。该主机名并必是计算机的主机名。在本范例中它被设为 weezie。6N5Linux联盟
+

visible_hostname weezie6N5Linux联盟
o 此外，使用 Squid 访问控制，您可以通过 Squid 代理将 Internet 服务配置成仅限于有确定网际协议 (IP) 地址的用户使用。例如，我们将举例说明只让 192.168.42.0/24 子网的用户访问：6N5Linux联盟
+ 将下列语句添加到您 /etc/squid/squid.conf 文件 ACL 部分的 底部：

acl fortytwo_network src 192.168.42.0/24 然后添加下列语句到你 /etc/squid/squid.conf 文件 http_access 部分的 顶部： http_access allow fortytwo_network6N5Linux联盟
o 使用 Squid 卓越的访问控制功能，您可以通过 Squid 代理将 Internet 服务配置成仅限于在正常商务时间使用。例如，我们将举例说明只允许来自 10.1.42.0/24 子网的商务雇员在周一到周五的上午 9:00 到下午 5:00 时间段内访问：6N5Linux联盟
+ 将下列语句添加到您 /etc/squid/squid.conf 文件 ACL 部分的 底部：

acl biz_network src 10.1.42.0/24 acl biz_hours time M T W T F 9:00-17:00 然后添加下列语句到你 /etc/squid/squid.conf 文件 http_access 部分的 顶部： http_access allow biz_network biz_hours6N5Linux联盟
在修改 /etc/squid/squid.conf 文件后，保存该文件并重启 squid 服务器应用程序以使改动生效。可以在终端提示符后使用下列命令：

sudo /etc/init.d/squid restart

4.11.3.?引用

*

Squid 网站

版本控制系统

* 版本控制是管理改动信息的技术。它对于程序员而言一直是重要的工具，他们经常花时间对程序进行小改动之后又在第二天改回来。但版本控制软件的用途却远远超出了软件开发的界线。无论何处您可以发现人们使用计算机去管理那些经常变动的信息，那里都有使用版本控制的空间。

4.12.1.?Subversion

* Subversion 是一个开源的版本控制系统。使用 Subversion，您可以记录源文件和文档的历史。它管理文件和目录。文件树被放入了中心库中。库更象是一个普通的文件服务器，除了它可以记住对文件和目录的每次改变。

4.12.1.1.?安装

* 要通过 HTTP 协议来访问 Subversion 库，您必须安装和配置一个 web 服务器。Apache2 被证明可以和 Subversion 一起工作。请参考 Apache2 章节的 HTTP 小节以安装和配置 Apache2。要使用 HTTPS 协议访问 Subversion 库，您必须在您的 Apache2 web 服务器上安装和配置数字证书。请参考 Apache2 章节的 HTTPS 小节以安装和配置数据证书。 要安装 Subversion，可以在终端提示符后运行以下命令：

sudo apt-get install subversion libapache2-svn

4.12.1.2.?服务器配置

* 这一步假定您已经在您的系统上安装了上面提及的包。本部分内容说明如何创建一个 Subversion 库和访问项目。 创建 Subversion 库 Subversion 库可以在终端提示符后使用以下命令创建：

svnadmin create /path/to/repos/project

4.12.1.3.?访问方式

* Subversion 库可以通过许多不同的方式如通过在本地磁盘或不同的网络协议来访问 (checked out)。然而，库的位置经常是一个 URL。下表描述了不同的URL模式如何映射相应的访问方式。 表 4-1?访问方式

模式

访问方式

file://

直接访问库 (在本地磁盘)

http://

通过 WebDAV 协议访问带有 Subversion 的 Apache2 web 服务器。

https://

与 http:// 相同，但有 SSL 加密

svn://

通过自身协议访问 svnserve 服务

svn+ssh://

与 svn:// 一样，但使用 SSH 遂道6N5Linux联盟
在本部分，我们将看到如何为所有这些访问方式来配置 Subversion。这里，我们只介绍基本用法。更多详细、高级用法请参阅svn 书

4.12.1.3.1.?直接访问库 (file://)

* 这是所有访问方式中最简单的。它不要求运行任何 Subversion 服务器进程。该访问方式用于在同一台机器上访问 Subversion。在终端提示符后输入的命令如下所示：

svn co file:///path/to/repos/project

或

svn co file://localhost/path/to/repos/project

如果您没有指定主机名，则需要三个斜杠 (///) — 其中两个是协议的 (这里是 file)，另一个是路径前的。如果您指定了主机名，那么您必须使用双个斜杠 (//)。 库权限依赖于文件系统的权限。如果用户有读/写权限，他可以从库中检出或者提交到库。

4.12.1.3.2.?通过 WebDAV 协议 (http://) 访问

* 要通过 WebDAV 协议访问 Subversion，您必须配置您的 Apache2 web 服务器。您必须在您的 /etc/apache2/apache2.conf 文件中添加下面一小段：

DAV svn6N5Linux联盟
SVNPath /path/to/repos6N5Linux联盟
AuthType Basic6N5Linux联盟
AuthName “Your repository name”6N5Linux联盟
AuthUserFile /etc/subversion/passwd

Require valid-user

接下来，您必须创建 /etc/subversion/passwd 文件。该文件包含用户认证细节。要添加一个条目，如添加一个用户，您可以在终端提示符后运行下列命令：

htpasswd2 /etc/subversion/passwd user_name

该命令将提示您输入密码。一旦您输入密码。该用户将被添加。现在您可以运行下列命令来访问库：

svn co http://servername/svn

该密码是以纯文本传输的。如果您担心密码被截取，建议您使用 SSL 加密。相关细节，请参考下一章节。

4.12.1.3.3.?通过带有 SSL 加密的 WebDAV 协议来访问 (https://)

*

通过带 SSL 加密的 WebDAV 协议 (https://) 访问也使用 http:// 类似，只是您必须在您的 Apache2 web 服务器中安装和配置数字证书。 您可以安装由证书签署机构如 Verisign 颁发的数字证书。或者，您也可以安装自己签署的证书。

这一步假设您已经在您的 Apache2 web 服务器中安装和配置了数字证书。现在要访问 Subversion 库，请参考上一章节！除了所用协议之外访问方式完全相同。您必须使用 https:// 来访问 Subversion 库。

4.12.1.3.4.?通过自身协议访问 (svn://)

* 一旦 Subversion 库被创建，您就可以配置访问控制了。您可以通过编辑 /path/to/repos/project/conf/svnserve.conf 文件来配置访问控制了。例如，要设置认证，您可以在配置文件中反注释下列行：

# [general]6N5Linux联盟
# password-db = passwd

在反注释上面几行之后，您可以在 passwd 文件中维护用户列表。因此编辑同一目录中的文件 passwd 并添加新用户。其语法如下：

username = password

更多细节，请参考该文件。 现在要从本机或不同机器通过 svn:// 自身协议来访问 Subversion，您可以使用 svnserve 命令来运行 svnserver。其语法如下：

$ svnserve -d –foreground -r /path/to/repos6N5Linux联盟
# -d — daemon mode6N5Linux联盟
# –foreground — run in foreground (useful for debugging)6N5Linux联盟
# -r — root of directory to serve

For more usage details, please refer to:6N5Linux联盟
$ svnserve –help

一旦您运行该命令，将启动 Subversion 并在缺省端口 (3690) 监听。要访问项目库，您必须在终端提示符后运行下列命令：

svn co svn://hostname/project project –username user_name

根据服务器的配置，出现密码提示。一旦您认证通过，将从 Subversion 库检出代码。要让本地副本同步项目库，您可以运行 update 子命令。在终端提示符后的命令语法如下所示：

cd project_dir ; svn update

关于 Subversion 子命令的更多细节，您可以参考手册。如为了学到关于 co (checkout) 命令的细节，请在终端提示符后运行下列命令：

svn co help

4.12.1.3.5.?通过带有 SSL 加密的自身协议 (svn+ssh://) 访问

* 配置和服务器处理与用 svn:// 方式是相同的。详情请参考上面的章节。这一步假定您已经完成了上面的步骤并用 svnserve 命令启动了 Subversion 服务器。 它也假定 ssh 服务器已经在该机上运行并允许连接。为了确认，请尝试使用 ssh 登录该机器。如果您可以登录，一切就绪。如果不能登录，请在继续之前解决它。 svn+ssh:// 协议使用 SSL 加密来访问 Subversion 库。使用这种方式进行的数据传输是加密的。要访问项目库 (如 checkout)，您必须使用下面的命令语法：

svn co svn+ssh://hostname/var/svn/repos/project

使用这种访问方式您必须使用全路径 (/path/to/repos/project) 来访问 Subversion 库。 根据服务器配置，它将提示输入密码。在使用 ssh 登录时您必须输入密码。一旦您被认证通过之后，它将从 Subversion 库中检出代码。

4.12.2.?CVS 服务器

* CVS 是一个版本控制系统。您可以使用它来记录源文件的历史。

4.12.2.1.?安装

* 在终端提示符后输入下列命令来安装 cvs：

sudo apt-get install cvs

在您安装 cvs之后，您将安装 xinetd 来启动和停用 cvs 服务器。在提示符后输入下列命令以安装

xinetd：

*

sudo apt-get install xinetd

4.12.2.2.?配置

* 一旦您安装 cvs，将会自动初始化库。缺省状态下，库存放在 /var/lib/cvs 目录下。您可以通过运行以下命令来改变该路径：

cvs -d /your/new/cvs/repo init

一旦库开始建立，您可以配置 xinetd 来启动 CVS 服务器。您可以拷贝以下行到 /etc/xinetd/cvspserver 文件。

service cvspserver6N5Linux联盟
{6N5Linux联盟
port = 24016N5Linux联盟
socket_type = stream6N5Linux联盟
protocol = tcp6N5Linux联盟
user = root6N5Linux联盟
wait = no6N5Linux联盟
type = UNLISTED6N5Linux联盟
server = /usr/bin/cvs6N5Linux联盟
server_args = -f –allow-root /var/lib/cvs pserver6N5Linux联盟
disable = no6N5Linux联盟
}

如果你改变缺省的库目录 (/var/lib/cvs) 那么您必须要编辑库。 一旦您配置好 xinetd ，您就可以运行以下命令来启动 cvs 服务器了：

sudo /etc/init.d/xinetd start

您可以执行以下命令来确定 CVS 服务器正在运行：

sudo netstat -tap | grep cvs

当您运行该命令时，您可以看到类似下面的行：

tcp 0 0 *:cvspserver *:* LISTEN

在这里您可以继续添加用户，添加新的项目以及管理 CVS 服务器 CVS 允许用户添加独立于 OS 安装的用户。也许最容易的方式就是让 CVS 使用 Linux 的用户，虽然它有潜在的安全隐患。详细请参考 CVS 手册。

4.12.2.3.?添加项目

* 本部分内容说明如何在 CVS 库中添加新项目。创建目录以及该目录所需的文档和源文件。现在运行下列命令将该项目添加到 CVS 库中：

cd your/project6N5Linux联盟
cvs import -d :pserver:username@hostname.com:/var/lib/cvs -m “Importing my project to CVS repository” . new_project start

您可以使用 CVSROOT 环境变量来保存 CVS 根目录。一旦您导出 CVSROOT 环境变量，您可以在上面的 cvs 命令中避免使用 －d 选项。 字符串 new_project 是一个 vendor 标签，start 是一个版本标签。它们在此没有任何用处，但由于 CVS 要求要有它们，所以它们必须出现。 当您新添项目时，您所用的 CVS 用户必须对 CVS 库 (/var/lib/cvs) 有写权限。缺省状态下，src 组有对 CVS 库的写权限，因此，您可以添加用户到该组，然后就该用户就可以在 CVS 库中添加和管理项目了。

4.12.3.?引用

*

Subversion 主页

Subversion 书 (使用Subversion进行版本控制)

CVS 手册

数据库

* Ubuntu 提供两个数据库服务器。它们是：6N5Linux联盟
o MySQL?6N5Linux联盟
o PostgreSQL6N5Linux联盟
它们位于主软件库中。该部分内容说明如何安装和配置这些数据库服务器。

4.13.1.?MySQL

* MySQL 是一个快速、多线程、多用户、强大的 SQL 数据库服务器。它旨在成为能用于大型应用、高负载的生产系统以及大规模部署的软件。

4.13.1.1.?安装

* 要安装 MySQL，可以在终端提示符后运行下列命令：

sudo apt-get install mysql-server mysql-client

一旦安装完成，MySQL 服务器应该自动启动。您可以在终端提示符后运行以下命令来检查 MySQL 服务器是否正在运行：

sudo netstat -tap | grep mysql

当您运行该命令时，您可以看到类似下面的行：

tcp 0 0 localhost.localdomain:mysql *:* LISTEN -

如果服务器不能正常运行，您可以通过下列命令启动它：

sudo /etc/init.d/mysql restart

4.13.1.2.?配置

* 缺省状态下，管理员密码是没有设置的。一旦您安装了 MySQL，您必须要做的第一件事就是配置 MySQL 的管理员密码。要做到这一点，可以运行以下命令：

sudo mysqladmin -u root password newrootsqlpassword6N5Linux联盟
sudo mysqladmin -u root -h localhost password newrootsqlpassword

您可以编辑 /etc/mysql/my.cnf 文件来进行基本设置 — 日志文件、端口号等。详情请参考 /etc/mysql/my.cnf 文件。

4.13.2.?PostgreSQL

* PostgreSQL 是一个面向对象的数据库系统，它有着传统商业数据库系统和下一代 DBMS 系统所增进的功能。

4.13.2.1.?安装

* 要安装 PostgreSQL，可以在命令提示符后运行下列命令：

sudo apt-get install postgresql

一旦安装完成，您就要按您的需要配置 PostgreSQL 服务器，尽管缺省配置已经可以使它可以正常运行了。

4.13.2.2.?配置

* 缺省状态下，通过 TCP/IP 的连接是被禁用的。PostgreSQL 支持多客户认证方式。其中 IDENT 认证方式被默认使用。请参考 PostgreSQL 管理员指南。

接下来的讨论假定您希望启用 TCP/IP 连接并对客户认证使用 MD5 模式。PostgreSQL 配置文件被保存在 /etc/postgresql//main /etc/postgresql/7.4/main 要配置 ident 认证，请在 /etc/postgresql/7.4/main/pg_ident.conf 文件中添加。 要启用 TCP/IP 连接，编辑文件 /etc/postgresql/7.4/main/postgresql.conf。 找到 #tcpip_socket = false 行并将其改为 tcpip_socket = true。如果您知道您正在做什么，那么您也可以编辑其他所有参数。详情请参考配置文件或 PostgreSQL 文档。 缺省状态下，没有为 MD5 客户端认证设置用户证书。因此，首先必须将 PostgreSQL 服务器配置成使用 trust 客户端认证，用以连接数据库。配置密码并将配置恢复成使用 MD5 客户端认证。要启用 trust 客户端认证，可编辑文件 /etc/postgresql/7.4/main/pg_hba.conf 注释所有使用 ident 和 MD5 客户端认证的行并添加下列行：

local all postgres trust sameuser

然后运行下列命令启动 PostgreSQL 服务器：

sudo /etc/init.d/postgresql start

一旦 PostgreSQL 服务器成功启动，在终端提示符后运行下面的命令以连接缺省的 PostgreSQL 模板数据库。

psql -U postgres -d template1

上面的命令是以用户 postgres 的身份连接 PostgreSQL 的 template1 数据库。一旦您连到 PostgreSQL 服务器，您将会在 SQL 提示符下。您可以在 psql 提示符中运行下列命令来为用户 postgres 配置密码。

template1=# ALTER USER postgres with encrypted password ‘your_password’;

在配置密码后，编辑文件 /etc/postgresql/7.4/main/pg_hba.conf 以使用 MD5 认证： 注释掉最近添加的 trust 行并添加下面行：

local all postgres md5 sameuser

无论如何上面配置并不完整。更多的配置参数请参考 PostgreSQL 管理员指南。

邮件服务

* 在网络或 Internet 上从一个人得到邮件给另一个人的处理过程包含许多系统的协同工作。这些系统中的每一个都必须配置正确以便可以正常工作。发送者使用一个 邮件用户代理 (MUA)，或邮件客户端通过一个或多个 邮件传输代理 (MTA) 来发送信息，最后一个将信息送到 邮件投递代理 (MDA) 以便将其投递到接受者的收件箱中。该信息将会被接受者邮件客户端检索到，通常是通过 POP3 或 IMAP 服务器。

4.14.1.?Postfix

* Postfix 是 Ubuntu 中缺省的邮件传输代理 (MTA)。它试图变得快捷、易于管理和安全。它与 MTA sendmail 兼容。这部分内容说明如何安装和配置 postfix。还说明如何将它设置成使用安全连接的 SMTP 服务器 (为了安全发送邮件)。

4.14.1.1.?安装

* 要安装带有 SMTP-AUTH 和 传输层安全 (TLS) 的 postfix，运行下列命令：

sudo apt-get install postfix

当安装进程提问时简单地按回车，下面将详细说明相关配置。

4.14.1.2.?基本配置

* 要配置 postfix，运行下列命令：

sudo dpkg-reconfigure postfix

用户界面将显示。在每一屏中，选择下列值：

* Ok6N5Linux联盟
* Internet 站点6N5Linux联盟
* NONE6N5Linux联盟
* mail.example.com6N5Linux联盟
* mail.example.com, localhost.localdomain, localhost6N5Linux联盟
* No6N5Linux联盟
* 127.0.0.0/86N5Linux联盟
* Yes6N5Linux联盟
* 06N5Linux联盟
* +6N5Linux联盟
* 全部

把 mail.example.com 作为您的邮件服务器的主机名。

4.14.1.3.?SMTP 认证

* 下一步是为 postfix 的 SMTP AUTH 配置使用 SASL。与其直接编辑配置，不如使用 postconf 命令配置所有 postfix 参数。配置参数被保存在 /etc/postfix/main.cf 文件中。如果您希望更新配置一项参数，您可以运行命令或手工在文件中修改。6N5Linux联盟
1. 配置 Postfix 使用 SASL (saslauthd) 的 SMTP AUTH ：6N5Linux联盟
o

postconf -e ’smtpd_sasl_local_domain =’6N5Linux联盟
postconf -e ’smtpd_sasl_auth_enable = yes’6N5Linux联盟
postconf -e ’smtpd_sasl_security_options = noanonymous’6N5Linux联盟
postconf -e ‘broken_sasl_auth_clients = yes’6N5Linux联盟
postconf -e ’smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination’6N5Linux联盟
postconf -e ‘inet_interfaces = all’6N5Linux联盟
echo ‘pwcheck_method: saslauthd’ >> /etc/postfix/sasl/smtpd.conf6N5Linux联盟
echo ‘mech_list: plain login’ >> /etc/postfix/sasl/smtpd.conf

2. 接下来为 TLS 配置数字证书。当被询问问题时，按照提示并适当回答。6N5Linux联盟
o

openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 10246N5Linux联盟
chmod 600 smtpd.key6N5Linux联盟
openssl req -new -key smtpd.key -out smtpd.csr6N5Linux联盟
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt6N5Linux联盟
openssl rsa -in smtpd.key -out smtpd.key.unencrypted6N5Linux联盟
mv -f smtpd.key.unencrypted smtpd.key6N5Linux联盟
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 36506N5Linux联盟
mv smtpd.key /etc/ssl/private/6N5Linux联盟
mv smtpd.crt /etc/ssl/certs/6N5Linux联盟
mv cakey.pem /etc/ssl/private/6N5Linux联盟
mv cacert.pem /etc/ssl/certs/

您可以从证书颁发机构得到数字证书。或者您可以创建您自己的证书。详情参考 第4.10.3.4节 ― 创建一个自己签署的证书。6N5Linux联盟
3. 配置 Postfix 对接收或发送邮件进行 TLS 加密：6N5Linux联盟
o

postconf -e ’smtpd_tls_auth_only = no’6N5Linux联盟
postconf -e ’smtp_use_tls = yes’6N5Linux联盟
postconf -e ’smtpd_use_tls = yes’6N5Linux联盟
postconf -e ’smtp_tls_note_starttls_offer = yes’6N5Linux联盟
postconf -e ’smtpd_tls_key_file = /etc/ssl/private/smtpd.key’6N5Linux联盟
postconf -e ’smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt’6N5Linux联盟
postconf -e ’smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem’6N5Linux联盟
postconf -e ’smtpd_tls_loglevel = 1′6N5Linux联盟
postconf -e ’smtpd_tls_received_header = yes’6N5Linux联盟
postconf -e ’smtpd_tls_session_cache_timeout = 3600s’6N5Linux联盟
postconf -e ‘tls_random_source = dev:/dev/urandom’6N5Linux联盟
postconf -e ‘myhostname = mail.example.com’

在您运行所有命令之后，postfix 的 SMTP AUTH 将被配置。将为 TLS 创建自己签署的证书并与 postfix 一起配置。 现在文件 /etc/postfix/main.cf 看上去就象 这样。 postfix 初始配置完成。运行下列命令以开始 postfix 守护程序：

sudo /etc/init.d/postfix start

现在 postfix 已经被安装、配置及成功运行。Postfix 支持在 RFC2554 中定义的 SMTP AUTH。它基于 SASL。无论如何在您使用 SMTP 之前必须设置 SASL 认证。

4.14.1.4.?配置 SASL

* libsasl2、sasl2-bin 和 libsasl2-modules 对于使用 SASL 的 SMTP AUTH 是必需的。如果您没有安装它们的话，您可以安装这些应用程序。

apt-get install libsasl2 sasl2-bin

要让其正常工作的话做一些改动是必须的。因为 Postfix 是被 chroot 在 /var/spool/postfix 中运行，SASL 需要被配置在假根目录中运行 (从 /var/run/saslauthd 到 /var/spool/postfix/var/run/saslauthd)：

mkdir -p /var/spool/postfix/var/run/saslauthd6N5Linux联盟
rm -rf /var/run/saslauthd

要激活 saslauthd，编辑文件 /etc/default/saslauthd，并修改或添加 START 变量。为了将 saslauthd 配置成在假根目录中运行，添加 PWDIR、PIDFILE 和 PARAMS 变量。最终，随您所好配置 MECHANISMS 变量。该文件看起来象这样：

# This needs to be uncommented before saslauthd will be run6N5Linux联盟
# automatically6N5Linux联盟
START=yes

PWDIR=”/var/spool/postfix/var/run/saslauthd”6N5Linux联盟
PARAMS=”-m ${PWDIR}”6N5Linux联盟
PIDFILE=”${PWDIR}/saslauthd.pid”

# You must specify the authentication mechanisms you wish to use.6N5Linux联盟
# This defaults to “pam” for PAM support, but may also include6N5Linux联盟
# “shadow” or “sasldb”, like this:6N5Linux联盟
# MECHANISMS=”pam shadow”

MECHANISMS=”pam”