知识大全 Linux简明系统维护手册(3)

Posted 2022-07-16 版本

篇首语：男儿欲遂平生志，六经勤向窗前读。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全 Linux简明系统维护手册(3)相关的知识，希望对你有一定的参考价值。

Linux简明系统维护手册(3) 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容，让我们赶快一起来看一下吧！

　　 )配置samba服务器　　　　　　　　　　( )构建基于Linux的VPN网络　　　　　　构建VPN几乎是Linux的最高级应用之一了学会了这项技术是足以使你自豪的资本 VPN的主要用途就是建立一个加密的通信机制然后通过把所有的你的子网的信息按照特定的方式加密传输构成一个逻辑上的虚拟的网络简单的说就是一个Linux系统的IP层加密解决方案这里面需要用到不少组件下面一一介绍　　　　　　准备工作和安装　　　　　　．从下载 X的内核除了版本（该版本有一个致命错误）然后把该内核放置到 /usr/src中 (这里我们使用Linux tar gz) 然后释放 tar zxvf linux tar gz 　　　　　　．删除原来的连接rm linux 　　　　　　． ln –s linux tar gz linux 　　　　　　．检查当前的网卡和SCSI的型号（参见内核升级一章）　　　　　　． cd linux (进入linux 目录) 　　　　　　． make menugonfig 　　　　　　． make dep 　　　　　　． make bzImage 　　　　　　．编译工作做到这里就打住！　　　　　　．从下载gmp库的最新版本到/usr/local/src 　　　　　　． tar zxvf gmp tar gz 　　　　　　． cd gmp 　　　　　　． /configure 　　　　　　． make 　　　　　　． make install 　　　　　　．从下载freeswan tar gz（我们这里使用的版本）到/usr/local/src 　　　　　　． tar zxvf freeswan tar gz 　　　　　　．从下载x patch freeswan tar gz 这个是补丁文件释放进入x 补丁目录复制freeswan diff到外面的freeswan源目录然后回到freeswan源目录中运行 patch –p < freswan.diff 　　　　　　1．19 从下载openssl-0.9.6b版本到/usr/local/src，释放，进入目录　　　　　　1．20 ./config (如果原来系统中有openssl需要先uninstall再安装，不过一般情况下你可能uninstall不下来8-)。.WinGwiT如果无法uninstall，找到他们的路径，在这里通过—prefix=参数指定路径覆蓋旧版本的文件。这里严重建议：如果你没有把握确定路径，最好这样做：到你用的发行包的开发商的FTP站点（如果你用turbolinux就去用redhat就去），用anonymous用户和随便一个电子邮件作为密码登陆，找到你用的发行包版本的生机目录，然后下载相应的RPM包，注意：这里的包至少应该是0.9.6b1以上的i386版本。下载完毕后用rpm –Uvh更新。这样做完了很干净。　　　　　　1．21 make （如果你用rpm包升级就不用这个步骤了）　　　　　　1．22 make test （如果你用rpm包升级就不用这个步骤了）　　　　　　1．23 make install （如果你用rpm包升级就不用这个步骤了）安装完了以后执行openssl命令，输入version看看是不是你刚刚安装的版本。如果不是，可能没有覆蓋原来安装的旧版本。从1.20重新来过　　　　　　1．24 然后回到freeswan的源目录，运行：make menugo，在neorking options中选择关于iptables和ipsec相关的所有选项。其中ipsec是freeswan加上的，最好把前面括号中M（模块方式）换成*（编译进内核）。下列内核选项应该选上：　　　　　　进入：Neorking Options至少选择上：　　　　[aidcode] 　　　　Neork packet filtering (replaces ipchains) 　　　　Neork packet filtering debugging (NEW) 　　进入：IP: Netfilter Configuration ---> 　　<*> Connection tracking (required for masq/NAT) (NEW) FTP protocol support (NEW) IRC protocol support (NEW) [/aidcode] 　　　　注意如果你需要使用DHCP功能需要增加Pachet Socket mmapped IO和Socket Filtering两个选项参见DHCP一章　　　　　　等等…… 　　　　　　把下面的选项全部标记<*> 　　　　　　返回上一层菜单后把列表选项最下面的凡是IPSEC相关的选项全部选为<*> 另外的如果你打算使用拨号连接请在网络设备支持菜单选择ppp支持(注意你用的ppp程序一定要版本以上的) 　　　　　　．然后检查网卡和硬盘选项是否正确如果没有问题就逐层退出然后保存配置　　　　　　．退出后将自动编译内核等待…… 　　　　　　．编译完成后来到/usr/src/linux目录运行 make modules;make modules_install 　　　　　　． cp System map /boot/System map vpn 　　　　　　． cd arch/i /boot 　　　　　　． cp bzImage /boot/vmlinuz vpn 　　　　　　． cd /boot 　　　　　　． rm System map 　　　　　　． ln –s System map vpn System map 　　　　　　． vi /etc/nf 　　　　　　增加一段　　　　[aidcode] 　　boot=/dev/sda 　　map=/boot/map 　　install=/boot/boot b 　　prompt 　　timeout= 　　lba 　　default=linux vpn 　　image=/boot/vmlinuz label=linux initrd=/boot/initrd read only root=/dev/sda 　　image=/boot/vmlinuz vpn label=linux vpn initrd=/boot/initrd read only root=/dev/sda [/aidcode] 　　　　．运行lilo更新数据　　　　　　． reboot 　　　　　　．启动后运行 ipsec setup restart 应该不报任何错误而正常出现freeswan的版本　　　　　　注意还有一些必要的内核参数配置这些配置可以在rc local中实现他们是　　　　[aidcode] 　　echo > /proc/sys/net/ipv /conf/eth /rp_filter 　　echo > /proc/sys/net/ipv /ip_forward [/aidcode] 　　　　如果你把下面两项编译成模块（前面扩号是M而不是*）　　　　[aidcode] 　　 FTP protocol support (NEW) IRC protocol support (NEW) [/aidcode] 　　　　你需要在rc local中加上: 　　　　[aidcode] 　　modprobe ip_nat_ftp [/aidcode] 　　　　安装完了接下来我们将说明几种VPN的玩法　　　　　　配置Frees/wan用于支持双网关通信也就是两个异地的子网通过一对ipsec的VPN网关进行交互访问第一种玩法是网络对网络的VPN 一般的某企业在甲乙两地（距离相当远）各有一个办公室每个办公室各有一套LAN 他们分别通过专线连接到internet网络上甲LAN上是企业的管理中心运行着企业的管理系统而乙LAN上的用户也需要使用该管理系统尽管乙LAN可以通过internet（公网）连接过去但是企业的老板说不行！我们的数据不能暴露在公网上必须加密！好了我们的VPN网络就可以应用于该企业的这种需求首先在甲乙两个LAN的出口各放置一台我们的Linux服务器他们都安装好了ipsec（前面说的安装步骤一个都不少）两个LAN的数据分别通过各自的这台机器（ipsec gateway）进入公网凡是经过该网关的数据全部都是加密的在效果上两个LAN的用户可以互相ping到对方的机器尽管他们可能一个是 / 网段另一个是 / 网段的他们好像在同一个局域网中工作没有界限公共网络的加密部分对他们来说也是透明的而两个LAN在公共网络上交换的数据是密文的这就是虚拟专用网VPN 　　　　　　但愿你已经按照前面的步骤顺利的安装好了两台机器下面我告诉你怎样配置成网对网的环境　　　　　　．我们先配置甲网的ipsec网关（该网关有两个网卡我们配置他们的地址分别为eth : 和eth : ）安装完成后我们首先要做的事情是生成CA证书（用到刚才安装的openssl）　　　　　　．找到f文件一般在/etc/ssl/中也可能在/var/ssl中或/usr/ssl中（实在不行你就find / name f 找找嘛！）要是有好几个你要搞清楚哪个是你安装的版本改动其中的default_bits选项的值从到然后改动default_days的值到让期限为年！保存退出　　　　　　．在/var/中建立一个目录 /var/sslca 改变该目录的权限为（chmod /var/sslca）　　　　　　．在你安装的openssl目录中找到CA sh脚本注意应该是你当前运行的openssl版本的CA sh 　　　　　　． cd /var/sslca 进入到你刚才建立的目录　　　　　　．比如你刚才找到的CA sh在/usr/lib/ssl/misc/ 那么就输入/usr/lib/ssl/misc/CA sh –newca 接下来你会被问到一系列问题问题和回答类似于下面的样子如果你确认哪些你有把握更改就改比如公司名称邮件密码等不能确定的就按照下面的样子抄上即可　　　　[aidcode] 　　~/sslca#/usr/lib/ssl/misc/CA sh newca 　　CA certificate filename (or enter to create) (enter) 　　Making CA certificate 　　Using configuration from /usr/lib/ssl/f 　　Generating a bit RSA private key 　　 +++ 　　 +++ 　　writing new private key to /demoCA/private/ /cakey pem 　　Enter PEM pass phrase:(enter password) 　　Verifying password Enter PEM pass phrase:(e cha138/Article/program/Oracle/201311/17409