基于UNIX的多功能服務器構建的實現

唐友

哈爾濱德強商務學院 黑龍江 150025

0 引言

隨著時代的發展和國際一體化的加快，國內和國外的各種行業都面臨著前所未有的挑戰。這些挑戰已經不僅僅是某一個行業內部的問題，也不僅僅是一個行業或區域的問題。為了能盡快地面對這種挑戰，從而立于不敗之地，各行業都在分析帶來這些挑戰的原因，并試圖找出解決的方法。這些研究對IT的發展帶來了許多影響，并推動了對Linux的需求。

“隨需應變”的商務有以下四個主要特點：實時響應、靈活可變、聚焦核心、堅固可靠。這些都要求在業務上有更快的響應，更廣泛的集成，更高的安全性和更動態的業務動作。而作為支撐環境和手段，需要其IT提供更加統一，方便，可靠，安全的支持，這也是各行各業看好Linux以及眾多的IT商家投入Linux的原因。

本設計主要任務是建設一個擁有多功能的信息處理和交換的安全服務器平臺。該平臺將擔負多種服務所需的實時信息交互、資源共享的任務。

本系統針對操作系統，應該充分考慮系統的安全、穩定、高效、高可用、易于維護等特性，并且強調操作系統與硬件及第三方軟件產品的兼容特性。

針對數據庫、中間件等關鍵服務，要充分考慮服務的高可用性和可擴展性，比如對于數據庫服務，需要采用高可用技術保證數據庫的365天正常運轉；對于如中間件，采用負載均衡技術，提高系統的負載承擔能力。

1 總體設計

1.1 設計思路

操作系統使用ubuntu linux作為服務器，擁有眾多先進的技術特性，是穩定高效的通用服務器平臺。Ubuntu支持32路 SMP 架構（包括Intel超線程技術的CPU）和最大64GB內存的 IA32架構服務器，兼容高可用、負載均衡集群以及備份等配套解決方案，支持業界主流的商業應用，提供標準的Linux網絡服務功能，此外該產品還提供完整的軟件開發環境，完全可以滿足本項目對于操作系統的技術要求。體系結構設計采用B/S與C/S架構想結合，整個系統，以分為三層體系結構：表現層、功能(業務)層、數據層，如圖1所示。

圖1 三層體系結構圖

1.2 設計難點及技術實現

利用linux技術可以實現多功能網絡服務器的架設，但是最大的難點在于服務器的安全性考慮。相應的解決方案如下：

Cracker入侵之前做的第一件事情就是刺探目標主機的信息，利用各種方法得到目標主機所提供服務的版本信息，從而判斷其是否存有漏洞。可以對每個開放的端口進行相應的連接，通常這些服務程序會顯示自己的‘banner’，這樣就能直接獲知版本號，如ftp、telnet、sendmail等系統服務。通過這些返回的banner，依靠經驗或資料，判斷系統版本及服務的漏洞信息，從而發動入侵。現在很多掃描器都具備了自動獲取 banner的功能，這樣大大減輕了入侵者的工作量如nmap、portready等。如果我們將Linux偽裝成Windows主機，有助于減小被入侵的風險。

2 詳細設計

本文采用 Unbuntu linux系統作為服務器平臺。Ubuntu是一個完全以Linux為基礎的操作系統，可自由的獲得，并提供社區和專業的支持。Ubuntu對于桌面和服務器都是合適的。當前 Ubuntu 發布版支持Intel x86(BM-compatible PC)，MD64(ammer)PowerPC(pple iBook和Powerbook,G4和G5)構。Ubuntu 包含了超過16,000種軟件，但核心的桌面安裝系統合并到一張光盤上，Ubuntu覆蓋了所有的桌面應用程序，包含了文字處理，電子表格，internet應用程序，web server軟件，email軟件，開發設計工具，常用工具，當然還有一些游戲。“Ubuntu”是一個古非洲語單詞，意思是“樂于分享”。班圖精神也意味“我和他人緊緊相連，密不可分，我們都在同一種生活之中”。Ubuntu Linux 也將班圖精神帶到了軟件世界。

2.1 配置路由與防火墻服務

這里用Ubuntu默認集成了iptables實現路由及防火墻服務。iptables是LINUX 2.4及其以上版本中所帶的一個防火墻規則管理程序。用戶可以使用它來建立、編輯、刪除系統的防火墻規則。但通常，需要自己創建一個防火墻規則腳本，并使系統啟動時自動運行這個腳本。一個 LINUX防火墻系統的安全機制是通過Input、Output、Forward這三個“防火鏈”來實現的。而用戶正是使用 iptables在這三個“鏈”上分別創建一套“防火規則”，完成對到來數據包層層限制的目的。

2.2 配置Web服務、Mysql數據庫服務

大多數 Internet上的 Web服務器，都使用 Apache和MYSQL作為Web和數據庫服務器。Apache以免費，可靠，快速和很好的擴展性等優點脫穎而出，PHP是一種類似ASP的腳本語言，目前的發展為主流的Web語言，而MySQL是一個輕量級的數據庫系統，特別是用于網站建設，這3個軟件均是自由軟件，是架設數據庫驅動的動態網站的最佳排檔。

2.3 配置Ftp文件傳輸服務

VSFTPD是一種在Linux中非常安全且快速的FTP服務器，目前已經被許多大型站點所采用。VSFTPD支持將用戶名和口令保存在數據庫文件或數據庫服務器中。VSFTPD稱這種形式的用戶為虛擬用戶。相對于FTP的本地(系統)用戶來說，虛擬用戶只是FTP服務器的專有用戶，虛擬用戶只能訪問FTP服務器所提供的資源，這大大增強系統本身的安全性。相對于匿名用戶而言，虛擬用戶需要用戶名和密碼才能獲取FTP服務器中的文件，增加了對用戶和下載的可管理性。對于需要提供下載服務，但又不希望所有人都可以匿名下載；既需要對下載用戶進行管理，又考慮到主機安全和管理方便的FTP站點來說，虛擬用戶是一種極好的解決方案。

2.4 配置Mail郵件服務

postfix是Wietse Venema在IBM的GPL協議之下開發的MTA(郵件傳輸代理)軟件。postfix想要作用的范圍是廣大的Internet用戶，試圖影響大多數Internet上的電子郵件系統，因此它是免費的。postfix在性能上大約比sendmail快三倍。一部運行 postfix的臺式 PC每天可以收發上百萬封郵件。postfix具有多層防御結構，可以有效地抵御惡意入侵者。如大多數的postfix程序可以運行在較低的權限之下，不可以通過網絡訪問安全性相關的本地投遞程序等等。

2.5 配置Samba共享服務

Samba是一種通過實現Unix的SMB/CIFS協議，可以讓Unix/linux系統與標準 Windows客戶機一起共享資源的工具。一個運行 SAMBA配置恰當的 Linux服務器可以替代Windows server服務器，它一般能共享目錄，提供活動目錄服務(active directory service,ADS)但是它可以做為主域控制器(Primary Domain Controller, PDC)，進行Windows系統作為客戶機的用戶認證，共享資源(目錄和打印機)和定制用戶會話。

3 安全維護與監控

由于Linux操作系統使用廣泛，又公開了源碼，因此是被廣大計算機用戶研究得最徹底的操作系統，而Linux本身的配置又相當的復雜，按照下面的安全策略和保護機制，可以將系統的風險降到最低，但不可能徹底消除安全漏洞，作為Linux系統的管理員，頭腦中一定要有安全防范意識，定期對系統進行安全檢查，發現漏洞要立即采取措施，以確保linux系統服務器安全、穩定地運轉。

3.1 用戶級進程監控

Linux系統提供了who、w、ps和top等察看進程信息的系統調用，通過結合使用這些系統調用，我們可以清晰地了解進程的運行狀態以及存活情況，從而采取相應的措施，來確保Linux系統的安全。它們是目前在Linux下最常見的進程狀況查看工具，它們是隨Linux套件發行的，安裝好系統之后，用戶就可以使用。

Linux提供的這些命令都能提供關于進程的一些信息，可以通過它們查看系統當前的進程狀況，也可以找出那些占用了過多系統資源的進程并結束該進程。它們的優點在于速度快，透明性好，直觀明了。上面給出了Linux系統中較為常見的重要的進程，可以采用上述工具來實時的監測這些重要進程的情況，并采取相應的防護措施。

3.2 日志管理

日志文件大多位于公用目錄，通常是/var/log，或/usr/adm,/var/adm，有些日志位于禁止訪問的/etc目錄。具體請參考當前操作體系統文檔。其中 syslogd守護進程提供非常強大的日志功能，比如裝載一個內核模塊的登記，其配置文件為/etc/syslog.conf，通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三個字段：facility字段表示產生該日志文件的子系統；priority字段表明事件的嚴重級別；action字段表明如何記錄日志，它提供了遠程網絡記錄的能力。

TCP wrapper日志也利用 syslog記錄，其中可能會有telnet,ssh,ftp等遠程登錄的信息。這些日志中有很多有價值的條目：嘗試登錄的時間日期，主機名稱，訪問的服務類型，以及源IP地址。

3.3 流量監控

整個ubuntu linux 多功能服務器網絡的流量監控用專業流量監控軟件NTOP進行網絡維護。在互動模式下，ntop會將網絡的使用狀況顯示在使用者的終端機畫面上。在Web模式中，ntop會像Web Server一樣產生出內含網絡使用狀況的網頁傳回到使用者的瀏覽器上。它可以通過分析網絡流量來確定網絡上存在的各種問題；也可以用來判斷是否有黑客正在攻擊網絡系統；還可以很方便地顯示出特定的網絡協議、占用大量帶寬的主機、每次通信的目標主機、數據包的發送時間、傳遞數據包的延時等詳細信息。通過了解這些信息，網管員可以對故障做出及時的響應，對網絡進行相應的優化調整，以保證網絡運行的效率和安全。

4 總結

基于Unbuntu Linux的“網上多功能服務器”項目順利實施滿足了網上各種類型服務的要求；整個系統構建在穩定的技術架構的基礎上，逐步引入和融合新的軟硬件，保持了技術先進性，增強了功能，提高了效率。通過系統配置擴展要求，提高了系統性能的縮整體放能力，滿足了接入點和數據分中心在數據庫和應用服務器等方面的性能擴展需求。

[1](美])Michael jang著,邱仲潘等譯.紅帽Linux 9 從入門到精通.電子工業出版社.2007.

[2]m.f.komarinski,c.collet著,曉冬,馬丁譯.linux系統管理指南.清華大學出版社.2009.

[3](美)Kirk Bauer譯,馬孝榮.UNIX和Linux自動化管理.清華大學出版社.2004.

[4](美)Martin Fink.Linux及開發放源代碼在商業經濟中的應用.電子工業出版社.2006.

[5](美)Scott Mann.Linux系統安全——開放源碼安全工具管理員指南(第二版).電子工業出版社.2004.

[6]前導工作室.Linux安全入侵防范、檢測和恢復.機械工業出版社.2008.