第一章、架设服务器前的准备工作

如果有人问你：『Linux 最强大的功能是什么』？大概大家都会回答『是网络功能啊！』，接下来，如果对方再问：『所以学 Linux 就是为了架设服务器啰？』呵呵！这个问题可就见仁见智啰！说穿了， Linux 其实就是一套非常稳定的操作系统，任何工作只要能在 Linux 这个操作系统上面跑，那他就是 Linux 可以达成的功能之一啰！所以 Linux 的作用实在不止于网络服务器的架设呐。

举例来说，在 Linux 上面开发跨平台的数值模式 (model) 诸如大型的大气仿真模式，由于 Linux 的稳定与完善的资源分配功能，使得在 Linux 上面开发出来的程序运作的又快又稳定。此外，诸如 KDE, GNOME 等漂亮的图形接口，搭配诸如 Open Office 等办公室软件，Linux 立刻摇身一变而成为优秀的办公室桌面电脑了 (Desktop)。此外，Google 制作出专门给手机系统用的 Android 也是以 Linux 为底开发的。所以说，千万不要小看了 Linux 的多样功能呐。

不过，不管怎么说， Linux 的强大网络功能确实是造成 Linux 能够在服务器领域内占有一席之地的重要项目。 既然如此，我们就好好的来探索一下 Linux 的网络世界吧！首先， Linux 到底可以达成哪些网络功能呢？这可就多着咯！不论是 WWW, Mail, FTP, DNS, 或者是 DHCP, NAT 与 Router 等等，Linux 系统都可以达到，而且，只要一部 Linux 就能够达到上面所有的功能了！当然，那是在不考虑网络安全与性能的情况下，你可以使用一部 Linux 主机来达成所有的网络功能。

但是你得要知道，『架站容易维护难』啊！更深一层来说，『维护还好、调试更难啊！』架设一个网站有什么难的？即使你完全没有摸过 Linux ，只要参考鸟哥的书籍或者是网站，而且一步一步照着做，包准你一个下午就可以架设完成五个以上的网络服务了！所以说， 架设服务器有什么难的？但要晓得的是，这样的一个网站，多则三天，少则数小时，立刻就会被入侵了！ 此外，被入侵之后，或许可以借由一些工具来帮你将 root 的密码救回来，可惜的是， 这样的一个网站还是有被做为中继站的危险存在的！

另外，如果你使用工具 (例如 Webmin) 却怎么也架设不起来某个网站时，要怎么解决？如果你不懂该 Server 的运作原理与 Linux 系统的调试消息，那么难道只能无语问苍天？不要怀疑这种情况的可能性， 参考一下各大论坛上面的留言就可以很清楚的知道这种情况的存在有越来越明显的趋势呢！

所以说，架设服务器之前还是有一些基本的技能需要学会的！而且这些技能是『一旦学会之后，真正是终身受用啊！』只要花一个学期 (三~六个月) 就能学会一辈子可以使用的技能，这个学习的投资报酬率真是太高了！ 所以，一开始的学习不要觉得苦，那真的是值得的喔！^_^

Tips

举例来说，鸟哥在 2003 ~ 2005 年跑去当兵了，当兵期间很少碰 Linux 啦！等到退伍后接到的第一个班要带 Linux 国际证照时，几乎所有的指令都在看不起鸟哥 @_@～不过，懂得学习的方法的鸟哥，通过 man 啦，通过 google 啦， 通过以前学习的一些概念啦，遇到问题几乎都可以在一分钟内解决，同学也不会有突然不知所云的困扰！你说， 这样是不是很好呢？

Linux 不是很好学，根据鸟哥过去教学的经验，很多同学在学 Linux 时真是非常的痛苦，不过学完之后， 以前在 Windows 上面遇到的困难却也自然而然的迎刃而解！因为 Linux 训练我们时，是要我们去解决一个发现的问题， 这过程需要很多基础知识的培养，所以学完他之后，你会觉得很多事情都变的很简单而单纯。但如果使用 Windows 的懒人方案，很多问题就不可能了解为啥会发生与为啥可以这样处理了！我们会在下一节分析一下架设服务器的流程， 也会提供相对应的你应该要会的 Linux 技能喔！

不管是 Windows 还是 Linux ，要架设好一部堪称完美的服务器，『基本功课』还是得做的，这包括了：

1. 基础网络的基本概念，以方便进行联网与设置及调试；
2. 熟悉操作系统的简易操作：包括登录分析、帐号管理、文书编辑器的使用等等的技巧；
3. 信息安全方面：包括防火墙与软件更新方面的相关知识等等；
4. 该服务器协定所需软件的基本安装、设置、调试等，才有办法实作。

而且，每一个项目里面所需要学习的技巧可多着呢！『什么？要学的东西那么多啊！』是啊！ 所以，不要以为信息管理人员整天闲闲没事干的呐，大家可是天天在出卖知识的，同时， 还得天天应付随时可能会发生的各种漏洞与网络攻击手法呢！真不是人干的工作～～

这么说的话，架设服务器真的是挺难的喔！事实上，架设服务器其实蛮简单的哩！咦！～怎么又说架设服务器简单了？ 不是说架设服务器难吗？呵呵！其实『架设服务器很难』是由于朋友们学习的角度有点偏差的原因啦！ 还记得当初进入理工学院的时候，天天在念的东西是基础物理、基础化学、工程数学与流体力学等基础科目， 这些科目花了我们一至两学期的时间，而且内容还很难呐～都是一大堆的理论背不完。 怪了？我们进理工学院是为了求取更高深的知识，那么这些基础知识学了有什么用呐？ 呵呵！更高深的知识都是建构在这些基本科目的理论上面的，所以 万一你基础的科目没有读好，那么专业科目里面提到的基本理论怎么可能听的懂？

这样说应该就不难了解了吧！没错！认识操作系统与该操作系统的基本操作，还有那个重要的网络基础， 就是我们在架设服务器前的『基础科目』啦！所以说，在进入 Linux 的服务器世界之前，真的不能够略过网络基础的相关知识，同时， Linux 系统的基本技能也必需要能够理解呐！

好了，或许你还是对于 Linux 系统里面『什么是很重要的知识』不甚了解， 果真如此的话，那么我们就举个简单的例子来说明一下啰！底下列出一般的架设服务器流程， 我们由架设服务器的流程当中，来看一看什么是重要的 Linux 相关技能吧！ ^_^。

Tips

在这一章当中，鸟哥不再就 linux 基础指令进行解析，因为在 『鸟哥的 Linux 私房菜 -- 基础学习篇』里面已经详细的介绍过了！ 如果持续的介绍指令，简直是浪费篇幅～所以底下仅介绍一个 Linux 基础学习重要性的分析喔！

底下我们就整个服务器的简易架设流程当中来分析一下，以了解为什么了解操作系统的基础对于网站维护是相当重要的呢？首先，到底我们是如何连接到服务器的？ 连接到服务器又取得啥咚咚？我们先以底下这张图标来作个简单的说明好了：

图 1.2-1、网络连接至服务器所需经过的各项环节

先来理解一下，到底我们连接到服务器想要得到什么？举例来说，你连接到 Youtube 想要看视频，所以对方就提供视频串流数据给你； 你连到 Yahoo 想要看新闻，所以对方就提供新闻的文本文件给你；你连接到无名小站想要看美女，对方就传图档给你；你连接 Facebook 想要去种田，对方就参考你之前留下来的记录，从数据库里面将你的记录拿出来传给你。看到没有，你连接到服务器，重点在取得对方的数据， 而一般数据的存在就是使用文件啰！那你有没有权限取得？最终与该文件系统的设置有关啦！

上图显示的是：首先，用户端到服务器的网络要能够通，等到用户端到达服务器后，会先由服务器的防火墙判断该连接能否放行， 等到放行之后才能使用到服务器软件的功能。而该功能又得要通过 SELinux 这个细部权限设置的项目后，才能够读取到文件系统。 但能不能读到文件系统呢？这又跟文件系统的权限 (rwx) 有关啦！上述的每个部分都要能够成功，否则就无法顺利读取数据啰。

所以，根据上面的流程我们大概可以将整个连接分为几个部分，包括：网络、服务器本身、内部防火墙软件设置、各项服务设置档、细部权限的 SELinux 以及最终最重要的文件权限。底下就分几个细项来谈谈啰。

1. 网络：了解网络基础知识与所需服务之通信协定

   既然要架设服务器，首先当然得要了解一下互联网。因为不管是哪种操作系统，若想要与互联网连接，这个网络基础就得了解。 举例来说，『网域』是经常会谈到的概念，当你发现一个设置为 192.168.1.0/255.255.255.0 时，晓得那是什么鬼东西吗？ 如果不知道的话，呵呵！绝对无法设置好网站的啦！另外，为何你需要服务器？当然是想要达成某项网络服务。 举例来说，传输文件可以用 FTP，那 WWW 可以传递文件吗？网芳可以传递吗？各有何用处？哪个比较方便？ 对于客户或老板来说，我们所设置的服务能否满足他们的需求等等，这都需要了解，否则你将一头雾水啊！ 因此这部份你就得要了解：

   • 基本的网络基础知识：包括以太网路硬件与协定、TCP/IP、网络连接所需参数等；
   • 各网络服务所对应的通信协定原理，以及各通信协定所需对应的软件。
   
   
2. 服务器本身：了解架网络服务器之目的以配合主机的安装规划

   想要架设服务器吗？那...架什么服务器？这个服务器要不要对 Internet 开放？这个服务要不要针对客户提供相关帐号？ 要不要针对不同的客户帐号进行例如磁盘容量、可活动空间与可用系统资源进行限制？如果要进行各项资源的限制， 那服务器操作系统应该要如何安装与设置？问题很多吧！所以，先了解你要的服务器服务目的之后，后续的规划才能陆续出炉。 不过，如果架站只是为了『练功』而已，呵呵！那就不需要考虑太多了～

3. 服务器本身：了解操作系统的基本操作

   网络服务软件是需要建置在操作系统上面的，所以基本的操作系统操作就得要了解才行啊！包括软件如何安装与移除？ 如何让系统进行例行的工作管理？如何依据服务器服务之目的规划文件系统？如何让文件系统具有未来扩充性 (LVM 之类)？ 系统如何管理各项服务之启动？系统的开机流程为何？系统出错时，该如何进行快速复原等等，这都需要了解的呢！

4. 内部防火墙设置：管理系统的可分享资源

   一部主机可以拥有多种服务器软件的运作，而很多 Linux distributions 出厂的默认值就已经开放很多服务给 Internet 使用了，不过这些服务可能并不是你想要开放的呢。我们在了解网络基础与所需服务的目的之后， 接下来就是通过防火墙来规范可以使用本服务器服务的用户，以让系统在使用上拥有较佳的控管情况。 此外，不管你的防火墙系统设置的再怎么严格，只要是你要开放的服务， 那防火墙对于该服务就没有保护的效果。因此，那个重要的在线更新软件机制就一定要定期进行！否则你的系统将会非常非常的不安全！

5. 服务器软件设置：学习设置技巧与开机是否自动运行

   刚刚第一点就提到我们得要知道每种服务所能达成的功能，如此一来才能够架设妳所需要的服务的网站。 那妳所需要的服务是由哪个软件达成的？同一个服务可否有不同的软件？每种软件可以达成的目的是否相同？ 依据所需要的功能如何设置你的服务器软件？架设过程中如果出现错误，妳该如何观察与调试？ 可否定期的分析服务器相关的登录信息，以方便了解该服务器的使用情况与错误发生的原因？ 能否通知多个用户进行连接测试，以取得较佳的服务器设置值？所以这里你可能就得要知道：

   • 软件如何安装、如何查找相关设置档所在位置；
   • 服务器软件如何设置？
   • 服务器软件如何启动？如何设置自动开机启动？如何观察启动的端口口？
   • 服务器软件启动失败如何调试？如何观察注册表？如何通过注册表进行调试？
   • 通过用户端进行连接测试，如果失败该如何处理？连接失败的原因是服务器还是防火墙？
   • 服务器的设置修改是否有创建日志？注册表是否有定期分析？
   • 服务器所提供或分享的数据有无定期备份？如何定期自动备份或异地备份？
   
   
6. 细部权限设置：包括 SELinux 与文件权限

   等到你的服务器全部设置妥当，最后你所提供的文件数据权限却是给了『 000 』的权限分数， 那鸟哥很肯定的说，大家都无法读到你所提供的数据啊...！此外，新的 distributions 都建议你要启动 SELinux ，那是什么咚咚？ 如果你的数据放置于非正规的目录，那该如何处理 SELinux 的问题？又如何让文件具有保密性或共享性 (文件权限概念与 ACL 等)？等等，这也都是需要厘清的观念喔！

上述的服务器架设流程中，其实除了第 5 点之外，其他步骤在各服务器设置都需要了解啊！而且都是一样的东西说！ 因此，这些基础如果学会了，最终，你只要知道第 5 点里面那个软件的基础设置，你的服务器一下子就可以设置完成啦！ 这样说，你是否开始觉得基础学习很重要啊！ ^_^

上面讲完后或许你还是不很清楚到底这些技能如何串起来？鸟哥这里提供一个简单的案例来分析一下好了， 这样你应该就比较容易清楚的知道为何需要学习这些咚咚。

• 网络环境：假设你的环境里面 (不管是家里还是宿舍) 共有五部电脑，这五部电脑需要串接在一起，且都可以对外连接；
• 对外网络：你的环境只有一个对外的连接方式，这里假设是台湾较流行的 ADSL 或 10M 的光纤这种通过电话线拨接的类型；
• 额外服务：你想要让这五部电脑都可以上网，而且其中还有一部可以做为网络磁盘机，提供同学或家人作为数据备份与分享之用；
• 服务器管理：由于你可能需要进行远程管理，因此你这部服务器得要开放连接机制，以让远程电脑可以连接到这部主机来进行维护；
• 防火墙管理：因为担心这部做为文件分享服务器的系统被攻击，因此你需要针对 IP 来源进行登录权力的控制；
• 帐号管理：另外，由于同学的数据有隐密与共享之分，因此你还得要提供每个同学个别的帐号， 且每个帐号都有磁盘容量的使用限制；
• 后端分析：最后，由于担心系统出问题所以你得要让系统自动定期分析磁盘使用量、注册表参数信息等等。

在上述的环境中，你要考虑的东西有哪些呢？依据本小节一开始谈到的六个步骤来分析的话，你可能需要底下这些咚咚喔！

• 硬件规划

我们想要将五部电脑串接在一块，但是却又只有一个可以对外的连接，此时就得要购买集线器 (hub) 或者是交换器 (switch) 来串接所有的电脑了。但是这两者有何不同？为何 switch 比较贵？我们知道网络线被称为 RJ-45 的网络线， 但网络线材竟然有等级之分，这个等级要怎么分辨？不同等级的线材速度有没有差异？等到这些硬件基础了解之后， 你才能够针对你的环境来进行连接的设计。这部份我们等到下一章再来介绍。

• 连接规划

由于只有一条对外连接而已，因此通常我们就建议你可以用如下的方式来串接你的网络：

图 1.2-2、硬件的网络连接示意图

通过 IP 分享器，我们的五部电脑就都能够上网了。此时你得要注意，那么能否上网与 Internet 有关， Internet 就是那有名的 TCP/IP 通信协定，而想要了解网络就得要知道啥是 OSI 七层协定。我们也知道能连上 Internet 与所谓的 IP 有关，那么我们内部这五部电脑所取得的 IP 能不能拿来架站？也就是说， IP 有没有不同种类？ 如果 IP 分享器突然挂了，那你的这五部电脑能不能连接玩魔兽？这就考虑你的网络参数设置问题了！

• 网络基础

如果你的同学或家人跑来跟你说，网络不通哩！你直觉会是什么？硬件问题？软件问题？还是啥莫名其妙的问题？ 如果你不懂网络基础的 IP 相关参数，包括路由设置以及领域名称系统 (DNS) 的话，肯定不知道怎么进行连接测试的。 所以啰，此时你就会被骂说：『怎么都不懂还想要管理我们家网络』...那时不是很糗吗？所以要学好一些嘛！ 这部份就很复杂了，包括 TCP/IP, Network IP, Netmask IP, Broadcast IP, Gateway, DNS IP 等等，都需要理解喔！

了解了这些原理之后，你才能够进行调试 (debug) 的工作，否则，错误一出，你可能就会被骂的臭头的！ 最常见的错误中，举例来说，如果你的主机明明就可以使用 ping 这个指令去接触远方的主机 (ping IP)，但是就是无法使用 ping hostname 去接触远方的主机，请问，这个原因是什么呢？了解网络基础的朋友一看就知道几乎是 DNS 出问题了，不晓得的朋友就是想破头也得不到答案。既然知道出问题的地方，就能够针对该问题去处理嘛！

网络基础会影响到你的网络设置是否正确，这真的很重要呐，因为，如果你的网络不通，那么即使服务器架设成功了， 别人可以看的到吗？所以说，要架站，真的得对网络基础的部分下一些功夫才行的。关于网络基础这部份我们在基础篇并没有谈过， 所以我们会在下一章网络基础时再详加说明喔！

如同图 1.2-2 所示，Server 端是在那五部电脑之中，而且 Server 必须要提供针对不同帐号给予网络磁盘机，我们这边会提供网芳 (SAMBA) 这个服务，因为他可以在 Linux/Windows 之间通用之故。 且由于需要提供帐号给用户，以及想到未来的磁盘扩充情况，因此我们想要将 /home 独立出来，且使用 LVM 这个管理模式， 并搭配 Quota 机制来控制每个帐号的磁盘使用量。

所以说，你得知道 Linux 目录下的 FHS (Filesystem Hierarchy Standard) 的规范，否则分区给到错误的目录，会造成无法开机！那为什么要将 /home 独立放入一个分区？ 那是因为 quota 仅支持 filesystem 而不支持单一目录啊！好了，如果给你一部全新的主机，那你该如何安装你的系统呢？

处理完毕安装之后，再来就是需要设置各项基本防护的要求了。这个要求会在首次登录时进行， 当你首次登录后，应该要设置什么呢？就来处理处理底下的实作题吧：

既然我们这部主机得要提供不同帐号来使用他们自己的网络磁盘，因此还需要创建帐号啊，使用磁盘配额 (quota) 等等的。 那么你会不会创建帐号呢？你会不会建置共享目录呢？你能不能处理每个帐号的 Quota 配额呢？如果 /home 的容量不足了， 你会不会放大 /home 的容量呢？有没有办法将系统的磁盘使用情况定期的发送邮件给管理员呢？这些都是基本的维护行为喔！ 我们底下就以几个实际例子来练习看看你的基础能力吧！

[root@www ~]# vim useradd.sh
#!/bin/bash
groupadd vbirdgroup
for username in vbirduser1 vbirduser2 vbirduser3 vbirduser4 vbirduser5
do
	useradd -G vbirdgroup $username
	echo "password" | passwd --stdin $username
done
[root@www ~]# sh useradd.sh
[root@www ~]# id vbirduser1
uid=501(vbirduser1) gid=502(vbirduser1) groups=502(vbirduser1),501(vbirdgroup) 
context=root:system_r:unconfined_t:SystemLow-SystemHigh

[root@www ~]# mkdir /home/vbirdgroup
[root@www ~]# chgrp vbirdgroup /home/vbirdgroup
[root@www ~]# chmod 2770 /home/vbirdgroup
[root@www ~]# ll -d /home/vbirdgroup
drwxrws--- 2 root vbirdgroup 4096  7月 13 11:11 /home/vbirdgroup
上面特殊字体的部分就是你需要注意的部分啰！特别注意那个权限的 s 功能喔！

# 1. 启动 filesystem 的 Quota 支持
[root@www ~]# vim /etc/fstab
LABEL=/             /      ext3  defaults                    1 1
/dev/server/server  /home  ext3  defaults,usrquota,grpquota  1 2
LABEL=/tmp          /tmp   ext3  defaults                    1 2
....(底下省略)....
# 因为是要处理用户的磁盘，所以找到的是 /home 这个目录来处理的啊！
[root@www ~]# umount /home; mount -a
[root@www ~]# mount | grep home
/dev/mapper/server-server on /home type ext3 (rw,usrquota,grpquota)
# 做完使用 mount 去检查一下 /home 所在的 filesystem 有没有上述的字眼！

# 2. 制作 Quota 数据档，并启动 Quota 支持
[root@www ~]# quotacheck -avug
quotacheck: Scanning /dev/mapper/server-server [/home] quotacheck: 
....(底下省略)....
# 会出现一些错误的警告信息，但那是正常的！出现上述的字样就对了！
[root@www ~]# quotaon -avug
/dev/mapper/server-server [/home]: group quotas turned on
/dev/mapper/server-server [/home]: user quotas turned on

# 3. 制作 Quota 数据给用户
[root@www ~]# edquota -u vbirduser1
Disk quotas for user vbirduser1 (uid 501):
  Filesystem                 blocks  soft        hard  inodes  soft  hard
  /dev/mapper/server-server      56  1800000  2000000       7     0     0
# 因为 Quota 的单位是 KB ，所以这里要补上好多 0 啊！看的眼睛都花了！

[root@www ~]# edquota -p vbirduser1 vbirduser2
# 持续作几次，将 vbirduser{3,4,5} 通通补上去！

[root@www ~]# repquota -au
*** Report for user quotas on device /dev/mapper/server-server
Block grace time: 7days; Inode grace time: 7days
                        Block limits                File limits
User             used    soft    hard  grace    used  soft  hard  grace
----------------------------------------------------------------------
root       --  176212       0       0              5     0     0
student    --      56       0       0              7     0     0
vbirduser1 --      56 1800000 2000000              7     0     0
vbirduser2 --      56 1800000 2000000              7     0     0
vbirduser3 --      56 1800000 2000000              7     0     0
vbirduser4 --      56 1800000 2000000              7     0     0
vbirduser5 --      56 1800000 2000000              7     0     0
# 看到没？上述的结果就是有发现到设置的 Quota 值啰！整个流程就是这样！

# 1. 先看看 VG 的量够不够用：
[root@www ~]# vgdisplay
  --- Volume group ---
  VG Name               server
  System ID
  Format                lvm2
....(中间省略)....
  VG Size               44.06 GB
  PE Size               32.00 MB
  Total PE              1410
  Alloc PE / Size       625 / 19.53 GB
  Free  PE / Size       785 / 24.53 GB
  VG UUID               RnQYZM-1bXC-hLTg-wT2J-ugHh-LvrH-b0FzmI
# 太棒了！还有 24GB 可以使用！我们只要再增加 5GB 而已！应该是够用的！

# 2. 检查 LV 够用吗：
[root@www ~]# lvdisplay
  --- Logical volume ---
  LV Name                /dev/server/server
  VG Name                server
  LV UUID                zSW5Cd-NfRV-e5lY-95fH-HAv5-02lO-01z8v8
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                19.53 GB
....(底下省略)....
# 看起来，是需要增加容量啰！我们使用 lvresize 来扩大容量吧！

[root@www ~]# lvresize -L 25G /dev/server/server
  Extending logical volume server to 25.00 GB
  Logical volume server successfully resized
[root@www ~]# lvdisplay
  --- Logical volume ---
  LV Name                /dev/server/server
  VG Name                server
  LV UUID                zSW5Cd-NfRV-e5lY-95fH-HAv5-02lO-01z8v8
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                25.00 GB
....(底下省略)....
# 看来确实是扩大到 25GB  啰！开始处理文件系统吧！

# 3. 扩大文件系统
[root@www ~]# resize2fs /dev/server/server
resize2fs 1.39 (29-May-2006)
Filesystem at /dev/server/server is mounted on /home; on-line resizing required
Performing an on-line resize of /dev/server/server to 6553600 (4k) blocks.
The filesystem on /dev/server/server is now 6553600 blocks long.

[root@www ~]# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/sda5             2.9G  305M  2.4G  12% /
/dev/mapper/server-server
                       25G  173M   23G   1% /home
....(其他省略)....
# 可以看到文件系统确实有放大到 25G 喔！这样了解了吗？

做完上面的实作之后，现在你晓得为什么在基础篇的时候，我们一直强调一些有的没有的了吧？因为那些东西在这里都用的上！ 如果本章这些题目你都不会，甚至连为什么要作这些东西都不懂的话，那得赶紧回去阅读基础篇，不要再念下去了！ 会非常非常辛苦的呦！

你可知道本章第一个实作题安装好了你的 Linux 之后，系统到底开放了多少服务呢？这些服务有没有对外面的世界开放监听？ 这些服务有没有漏洞或者是能不能进行网络在线更新？这些服务如果没有要用到，能不能关闭？此外， 这些服务能不能仅开放给部分的来源使用而不是对整个 Internet 开放？这都是需要了解的呢。 底下我们就以几个小案例来让你了解一下，到底哪些数据是你必须要熟悉的呢？

[root@www ~]# LANG=C chkconfig --list | grep '5:on'

[root@www ~]# chkconfig isdn off
[root@www ~]# chkconfig bluetooth off
[root@www ~]# /etc/init.d/isdn stop
[root@www ~]# /etc/init.d/bluetooth stop

上面提到的仅只是有启动的服务，如果我想要了解到启动监听 TCP/UDP 封包的服务 (网络封包格式下章会谈到)，那该如何处理？ 可以参考底下这个练习题喔！

[root@www ~]# netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address   Foreign Address State   PID/Program name
tcp        0      0 127.0.0.1:2208  0.0.0.0:*       LISTEN  2032/hpiod
tcp        0      0 0.0.0.0:738     0.0.0.0:*       LISTEN  1828/rpc.statd
tcp        0      0 0.0.0.0:111     0.0.0.0:*       LISTEN  1796/portmap
tcp        0      0 127.0.0.1:631   0.0.0.0:*       LISTEN  2059/cupsd
tcp        0      0 127.0.0.1:25    0.0.0.0:*       LISTEN  2091/sendmail: acce
tcp        0      0 127.0.0.1:2207  0.0.0.0:*       LISTEN  2037/python
tcp        0      0 :::22           :::*            LISTEN  2050/sshd
udp        0      0 0.0.0.0:57814   0.0.0.0:*               2196/avahi-daemon:
udp        0      0 0.0.0.0:732     0.0.0.0:*               1828/rpc.statd
udp        0      0 0.0.0.0:735     0.0.0.0:*               1828/rpc.statd
udp        0      0 0.0.0.0:5353    0.0.0.0:*               2196/avahi-daemon:
udp        0      0 0.0.0.0:111     0.0.0.0:*               1796/portmap
udp        0      0 0.0.0.0:631     0.0.0.0:*               2059/cupsd
udp        0      0 :::52792        :::*                    2196/avahi-daemon:
udp        0      0 :::5353         :::*                    2196/avahi-daemon:

[root@www ~]# /etc/init.d/avahi-daemon stop
[root@www ~]# chkconfig avahi-daemon off

我们常常会开玩笑说，如果对外开放的软件没有更新，那防火墙不过是个屁！所以啦，软件更新是相当重要的。 在 CentOS 内，我们已经有 yum 来进行在线更新了，你当然可以自己利用更改设置档来指定 yum 要去查找的映射站 (mirror site)，不过这里鸟哥建议使用缺省的设置值即可，因为系统会主动的判断较近的映射站 (虽然常常会误判)， 不需要人工微调啦！

[root@www ~]# yum -y update
# 第一次作会进行非常之久！因为系统真的有些数据要更新嘛！还是得等待的！

[root@www ~]# vim /etc/crontab
15 2 * * * root /usr/bin/yum -y update

那个 crontab 文件的处理，以及 crontab -e 的指令应用，内容的写法字段不太一样，请自行参考基础篇的说明去加强学习喔！

在通过了上述的各项设置后，我们的 Linux 系统应该是比较稳定些了，再接着下来，我们要开始来设置资源的保护了！ 例如 ssh 这个远程可登录的服务得要限制住可登录的 IP 来源，以及制订防火墙规则流程等。 这部份则是本教学文档后续要着重介绍的部分，留待后面章节再来谈吧！

Tips

程序员所撰写的程序并非十全十美的，所以，总是可能有些地方没有设计好，因此就造成所谓的『程序漏洞』啰。 程序漏洞所造成的问题有大有小，小问题可能是造成主机的当机，大问题则可能造成主机的机密数据外流， 或者主机的操控权被 cracker 取得。在现今网络发达的年代，程序的漏洞问题是造成主机被攻击、入侵的最主要因素之一了。 因此，快速、有效的针对程序漏洞进行修补，是一个很重要的维护课题。

这部份就是整个服务器架设篇的重要内容了！前一小节也曾谈过，在服务器架设部分你得要熟悉相当多的信息， 否则未来维护会显的很麻烦。我们以本章提到的大前提为例，我们想要提供一个网络磁盘机，那么网络磁盘机使用的机制有哪些呢？ 常见的除了网页形式的分享磁盘之外，还有常见的网芳以及 Linux 的 NFS 方式 (后面章节都会继续谈到)。

由于假设局域网路内的操作系统大部分是 Windows 好了，因此网芳应该是个比较合理的磁盘分享选择。 那么网芳到底启动了多少个端口口？是如何持续提供网芳数据的？提供的帐号有没有限制？提供的权限该如何设置？ 是否可规定谁可登录某些特定目录？针对网芳服务的端口口该如何设置防火墙？如果系统出错该如何查找错误信息？ 这个网芳在 Linux 底下要使用什么服务来达成？这都是需要学习的呢！

直接告诉你，网芳的制作在 Linux 底下是由 Samba 这套软件来达成的。Samba 的详细设置我们会在后续章节介绍。 这里要告诉你的是， 架设一个网芳服务器，你应该要会的基础知识有哪些？以及告诉你，你可以背下来的架设流程中， 理论上应该要经过哪些步骤的过程，这样对你未来处理服务器设置时，才会有点帮助啊！

1. 软件安装与查找
   
   刚刚我们已经知道网芳需要安装的是 Samba 这套软件，那么该如何查找有没有安装呢？如果没有安装又该如何安装呢？ 那就来处理处理。
   
   

   例题： 查出你的系统底下有没有 samba 这套软件，若无，请自行查找与安装该软件 答： 已安装的软件可以使用 rpm 去察看看，尚未安装的则使用 yum 功能。所以可以这样进行看看： [root@www ~]# rpm -qa | grep -i samba samba-3.0.33-3.29.el5_5 system-config-samba-1.2.41-5.el5 samba-common-3.0.33-3.29.el5_5 samba-client-3.0.33-3.29.el5_5 # 看起来是已经安装成功啰！如果没有看到上述的特殊字体时，就要这样做： [root@www ~]# yum search samba <==先查一下有没有相关的软件 [root@www ~]# yum install samba <==找到之后，那就安装吧！ # 那么如何找出设置档呢？因为我们总是需要修改设置档啊！这样做吧： [root@www ~]# rpm -qc samba samba-common /etc/logrotate.d/samba /etc/pam.d/samba /etc/rc.d/init.d/smb /etc/samba/smbusers /etc/sysconfig/samba /etc/samba/lmhosts /etc/samba/smb.conf /etc/security/pam_winbind.conf

   
   
2. 服务器主设置与相关设置
   
   这部份可就麻烦了！因为你得要了解到，你到底需要的服务是什么，针对该服务需要设置的项目有哪些？ 这些设置需要用到什么指令或设置档等等。一般来说，你得要先察看这个服务的通信协定是啥，然后了解该如何设置， 接下来编辑主设置档，根据主设置档的数据去运行相对应的指令来取得正确的环境设置。以我们这里的网芳为例， 我们需要设置工作群组，然后需要设置可以使用网芳的身份为非匿名，接下来就能够开始处理主设置档。 因此你需要有：
   
   
   1. 先使用 vim 去编辑 /etc/samba/smb.conf 设置档；
   2. 利用 useradd 创建所需要的网芳实体用户；
   3. 利用 smbpasswd 创建可用网芳的实体帐户；
   4. 利用 testparm 测试一下所有数据语法是否正确；
   5. 检查看看在网芳内分享的目录权限是否正确。
   
   这些设置都搞定之后，才能够继续进行启动与观察的动作呦！而想要了解更多关于 samba 的相关设置技巧与应用， 除了 google 大神之外， /usr/share/doc 内的文档，以及 man 这个好用的家伙都必须要去阅读一番！
   
   
3. 服务器的启动与观察
   
   在设置妥当之后，接下来当然就是启动该服务器了。一般服务器的启动大多是使用 stand alone 的模式， 如果是比较少用的服务，如 telnet ，就比较有可能使用到 super daemon 的服务启动类型。我们这里依旧使用 samba 为例， 来瞧瞧如何启动他吧！
   
   

   例题： 如何启动 samba 这个服务呢？并且设置好开机就启动他！ 答： 想要了解如何启动，得要使用 rpm 去找一下软件的启动方式，然后再去处理启动的行为啰！ # 先查找一下启动的方式为何： [root@www ~]# rpm -ql samba | grep '/etc' /etc/logrotate.d/samba /etc/pam.d/samba /etc/rc.d/init.d/smb <==所以说是 stand alone 且文件名为 smb 喔！ /etc/samba/smbusers /etc/sysconfig/samba # 开始启动他！且设置开机就启动喔！： [root@www ~]# /etc/init.d/smb start [root@www ~]# chkconfig smb on # 接下来，让我们观察一下有没有启动相关的端口口吧！ [root@www ~]# netstat -tlunp | grep '[sn]mbd' tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 7893/smbd tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 7893/smbd udp 0 0 192.168.201.111:137 0.0.0.0:* 7896/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 7896/nmbd udp 0 0 192.168.201.111:138 0.0.0.0:* 7896/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 7896/nmbd 最终我们可以看到启动的端口口有 137, 138, 139, 445 喔！

   
   
4. 用户端的连接测试
   
   接下来就是要找一部机器做为用户端，然后尝试使用本机器提供的网芳功能啊！这样才能够了解设置是对还是错！ 相关的用户端连接与服务器提供的服务有关，例如 WWW 服务器就要使用 browser 去测试，网芳当然就得要使用网芳用户端程序啰！这部份也是本服务器篇要讲的基本内容啦！
   
   但是很多时刻，用户端连接测试不成功并非是服务器设置的问题，很多是用户端使用方式不对！ 包括用户端自己的防火墙没开啦，用户端的帐号权限密码等等记错啦等等的，问题很大啦！ 总体来说：『教育你的 Client 用户具有最最基础的 Linux 帐号、群组、文件权限等概念，才是一个彻底解决问题的方法』，但这也是最难的部分...
   
   
5. 错误克服与观察注册表
   
   一般来说，如果 Linux 上面的服务出现问题时，通常会在屏幕上面直接告诉你错误的原因为何，所以你得要注意屏幕消息。 老实说，屏幕消息通常就已经告诉你该如何处理了。如果还不能处理呢？你可以这样处置看看：
   
   
   • 先看看相关注册表有没有错误消息，举例来说， samba 除了会在 /var/log/messages 里面列出消息外， 大部分的消息应该是摆放在 /var/log/samba/ 这个目录下的数据，因此你就得先去查阅一番。通常在注册表内的信息， 会比在屏幕上的还要仔细，那你就可以自行处理完毕了；
   • 将消息带入 Google 查找，通常可以解决注册表出现的但是你没有办法克服的问题喔！达成率可达 95% 以上吧！
   • 还是不成功，那就到各大讨论区去发问吧！建议到酷学园 (http://phorum.study-area.org)
   
   最常出现的其实是 SELinux 的错误啦！此时就得要使用 SELinux 的方法来尝试处理啰！ 这也是本服务器篇后续会稍微提到的内容。

经过上面的流程，你就可以知道啦，架设好一部主机需要知道：(1)各个 process 与 signal 的观念；(2)帐号与群组的观念与相关性；(3)文件与目录的权限，这当然包含与帐号相关的特性； (4)套件管理员的学习；(5)BASH 的语法与 shell scripts 的语法，还有那个很重要的 vim 啰！：(6)开机的流程分析，以及记录注册表的设置与分析；(7)还得知道类似 quota 以及链接档等等的概念。要知道的真的很多，而且还是不能省略的步骤喔！

如果有些特殊的使用情况时，权限设置就是个很重要的因素。举例来说，我们系统上面，现在有 vbirduser{1,2,3,4,5} 以及 student 等帐号，而共享目录为 /home/vbirdgroup。现在， vbirdgroup 的群组想要让 student 这个用户可以进入该共享目录查阅， 但是不能够更改他们原本的数据，你该如何进行呢？你或许可以这样想：

• 让 student 加入 vbirdgroup 群组即可：但如此一来， student 具有 vbirdgroup 的 rwx 权限，也就可以写入与修改啰， 因此这个方案行不通。
  
  
• 将 /home/vbirdgroup 的权限改为 2775 即可：如此一来 student 拥有其他人的权限 (rx)，但如此一来其他所有任何人均拥有 rx 权限，这个方案也行不通。

传统的身份与权限概念就只有上面两种解决方案而已，这下子严重了！我们没有办法针对 student 进行权限设置！ 此时就得要使用 ACL 啰～同样这个例子，我们就来实作一下：

[root@www ~]# setfacl -m u:student:rx /home/vbirdgroup
[root@www ~]# setfacl -m u:vbirduser5:- /home/vbirdgroup
[root@www ~]# getfacl /home/vbirdgroup
# file: home/vbirdgroup
# owner: root
# group: vbirdgroup
user::rwx
user:student:r-x    <==就是这两行，额外的权限参数哩！
user:vbirduser5:---
group::rwx
mask::rwx
other::---
[root@www ~]# ll -d /home/vbirdgroup
drwxrws---+ 2 root vbirdgroup 4096  7月 13 11:11 /home/vbirdgroup

上面说的是正确的权限控制行为。那万一系统管理员不是个东西...不是啦！系统管理员并不知道权限的重要性时， 常常会因为某些特殊需求，就将整个目录设置为 777 的情况！举例来说，如果是一个不怎么想要负责的网管人员， 为了自己方便、大家方便，就将 /home/vbirdgroup 设置为 777 ，这样『大家欢喜』嘛！此时，如果你没有加上任何管理机制， 嘿嘿！这个群组成员工作的成果，通通可以被大家所窃取，真是要命了！

为了预防这种心不在焉的管理员，于是就有了 SELinux 这个玩意儿。SELinux 主要在控制细部的权限， 他可以针对某些进程要读取的文件来设计 SELinux 类别，当进程与文件的类别形态可以相符合时，该文件才能够开始被读取。 如此一来，当你设置文件权限为 777 ，但是因为进程与文件的 SELinux 例行不符，所以没关系的，因为该进程还是读不到该文件！ 所以我们在图 1.2-1 才会将 SELinux 的图标绘制到 daemon 与 file permission 中间啊！

事实上 SELinux 还挺复杂的，但是我们如果仅是想要应用而已，那么 SELinux 的处理方式通通可以通过注册表来处置！ 所以 SELinux 出现问题的机会非常大，但是解决技巧却很简单！就是通过注册表内的说明去作即可。 详细的作法我们在后续章节再持续说明吧！

老实说，在鸟哥管理服务器的经验来说，硬件问题要比操作系统与软件问题还来的严重，而人的问题又比硬件问题严重！ 举例来说，如果你的老板跟你说：『我要的帐号是 eric ，而且我的密码也要是 eric ！这样比较好记嘛！』 你应该要怎么处理呢？『果然需要再教育』！教育谁？教育自己啦！是要忍耐还是要说服老板别这样～好讨厌的感觉吧！

因此，在系统安全方面，首要的工作是通过日常生活的社交活动中，慢慢透露一些资安方面的困扰， 并提供老板一些制订资安规则方面的信息，这样未来比较好鼓吹资安条件的制订。我们就先由严格的密码来建议吧：

『猜密码』仍是一个不可忽视的入侵手段！例如 SSH 如果对 Internet 开放的话，你又没有将 root 的登录权限关闭，那么对方将可能以 root 尝试登录你的 Linux 主机，这个时候对方最重要的步骤就是猜出你 root 的密码了！如果你 root 的密码设置成『1234567』哈哈！想不被入侵都很难～ 所以当然需要严格的规范用户密码的设置了！那么如何规范严格的密码规则呢？可以借由 (1)修改 /etc/login.defs 文件里面的规则，以让用户需要每半年更改一次密码，且密码长度需要长于 8 个字符呢！(2)利用 /etc/security/limits.conf 来规范每个用户的相关权限，让你的 Linux 可以较为安全一点点～(3)利用 pam 模块来额外的进行密码的验证工作。

另外，虽然『防火墙无用论』常常被提及，但是 netfilter (Linux 的内核内置防火墙) 其实仍有他存在的必要。 因此你还是得就要你自己的主机环境来设计专属于自己的防火墙规则，例如上面提到的 SSH 服务中， 你可以仅针对某个局域网路或某个特定 IP 开放连接功能即可啊！

最后，备份是不可忽略的一环。本节开头就讲到了，鸟哥遇过常常莫名其妙自动重开机或系统不稳的，经常都不是被攻击， 而是硬件内部的电子零件老化所造成的系统不稳定...此时，异地备援啦、备用机器的接管理等等的，就很重要啰！ 而你总不想要因为硬盘挂点导致数据『害害去』，所以啰，备份就真他X的重要啰！

[root@www ~]# mkdir /root/bin; vim /root/bin/backup.sh
#!/bin/bash
backdir="/etc /home /root /var/spool/mail"
basedir=/backup
[ ! -d "$basedir" ] && mkdir $basedir
backfile=$basedir/backup.tar.gz
tar -zcvf $backfile $backdir

[root@www ~]# vim /etc/crontab
45 2 * * * root sh /root/bin/backup.sh

无论如何，以现今的网络功能及维护来看，架设一个『功能性强』的主机， 还不如架设一个『稳定且安全的主机』比较好一点！因此，对于主机的安全要求就需要严格的要求啦！就鸟哥的观点来看， 如果你的主机是用来替你赚钱的，例如某些研究单位的大型 Cluster 运算主机， 那么即使架设一个甚至让你觉得很不方便的防火墙系统，都是合理的手段！因为主机被入侵就算了，若数据被窃取，呵呵！ 那可不是闹着玩的！

由上面的整个架站流程来看，由规划到安装、主机设置、帐号与文件权限管理、后续安全性维护与管理以及重要的备份工作等等， 必需要每个环节都很清楚，才能够设置出一个较为稳定而可正常工作的服务器。而上面的每一个工作都涉及到相当多的 Linux 基础操作与相关的概念，所以说，想要学架站，真的真的不能省略了 Linux 的基础学习， 这也是为什么我们一再强调 Linux 新手不要一头栽入想要单纯架设服务器的迷思当中呐！ 如果你对于上面谈到的几个基础概念不是很清楚的话，那么建议你由底下的两个网站学起：

• http://www.study-area.org
• http://vbird.org.cn