Murray Stokely Reorganized by 本章将覆盖某些在 &unix; 系统上常用的网络服务。话题将会涉及 如何安装、配置、测试和维护多种不同类型的网络服务。本章节中将提 供大量配置文件的样例，期望能够对您有所裨益。 在读完本章之后，您将会知道： 如何管理inetd 。 如何设置运行一个网络文件系统。 如何配置一个网络信息服务器以共享用户帐号。 如何通过DHCP自动配置网络。 如何配置一个域名服务器。 如何设置Apache HTTP 服务器。 如何设置文件传输（FTP）服务器。 如何使用Samba为 &windows; 客户端设置文件和打印服务。 如何同步时间和日期，以及如何设置使用NTP协议的时间服务器。 在阅读此章节之前，您应当： 理解有关/etc/rc中脚本的基本知识。 熟悉基本网络术语。 懂得如何安装额外的第三方软件（）。 Chern Lee Contributed by &man.inetd.8; 被称为Internet Super-Server， 因为它管理几个守护程序的链接。提供网络 服务的程序被称为守护进程。inetd 作为一个为其他服务的管理服务器，当一个被inetd 收到后，它将决定连接将前往哪个程序，然后拉起对应的守护进程， 并将socket转交过去。 比起来将所有守护进程以stand-alone模式 运行，运行单个inetd实例可以降低 系统开销。 一般说来，inetd 被用来拉起 其他守护进程，不过有些细碎的协议被直接接管，比如chargen， auth，和 daytime。 这一部分将通过命令行选项和/etc/inetd.conf 文件来介绍配置inetd 的基础知识。 inetd 通过 /etc/rc.conf 系统进行初始化。inetd_enable 选项默认被设定为 NO，不过可以通过sysinstall打开， 如果选用中等安全的模板。在/etc/rc.conf中设定: inetd_enable="YES" 或 inetd_enable="NO" 可以激活或者禁止inetd在启动时加载。 此外，可以通过inetd_flags把不同的 命令行参数传给inetd。 inetd 语法: inetd [-d] [-l] [-w] [-W] [-c maximum] [-C rate] [-a address | hostname] [-p filename] [-R rate] [configuration file] -d 打开调试选项。 -l 纪录成功的连接 -w 为外部服务打开TCP Wrapping（默认）。 -W 为inetd的内置服务打开TCP Wrapping （默认）。 -c maximum 指定单个服务的最大并发访问数量，默认为不限。 也可以在此服务的具体配置里面通过max-child改掉。 -C rate 指定单个服务一分钟内能被单个IP地址调用的最大次数， 默认不限。也可以在此服务的具体配置里面通过max-connections-per-ip-per-minute 改掉。 -R rate 指定单个服务一分钟内能被调用的最大次数，默认为256。 设为0 则允许不限次数调用。 -a 指定绑定的IP地址。此外，可以使用主机名，这样系统就 可以根据主机名对应的IPV4或者IPV6来选择绑定地址。通常当 inetd 在 &man.jail.8; 中运行 的时候指定主机名，这种情况下主机名来自 &man.jail.8; 环 境变量 当使用主机名方式时，如果IPV4和IPV6都会被绑定到服务， 那么，需要在/etc/inetd.conf.中为该服务 的每个对应协议添加一条记录。比如，一个TCP服务需要两条纪录， 一条使用tcp4，另一条使用tcp6。 -p 指定用来存放进程ID的文件。 以上选项在/etc/rc.conf中将可以 被inetd_flags开关传递给inetd。 默认情况下，inetd_flags 被置为 -wW，也既是对inetd的内置或外部服务打开TCP wrapping. 对于新手，通常不用去动这些参数，就算它们出现在/etc/rc.conf里头。 对inetd而言，所谓外部服务是当 连接请求到来时，被调用并接受连接，启动于inetd之外的守护进程。 反之，内置服务则是那些inetd自己可 以完全处理的了。 inetd的配置通过 /etc/inetd.conf文件进行控制。 当 /etc/inetd.conf内容发生改变，可以 对inetd进程发送一个HangUP信号，以强制 inetd重新读取配置文件，如下所示： &prompt.root; kill -HUP `cat /var/run/inetd.pid` 配置文件中的每一行都是一个独立服务。如果要注释掉该服务，可以在行首加上 #。/etc/inetd.conf的格式如下： service-name socket-type protocol {wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] user[:group][/login-class] server-program server-program-arguments ftpd使用IPv4的例子： ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l service-name 指明各个服务的服务名。其服务名必须与/etc/services中列出的一致。 这将决定inetd会监听哪个port。 一旦有新的服务需要添加，必须先在/etc/services里面添加。 socket-type 可以是stream、dgram、raw或者 seqpacket。 stream 用在基于连接的，TCP 服务；而dgram被用于服务用于UDP传输协议。 protocol 下列之一： 协议 说明 tcp， tcp4 TCP IPv4 udp， udp4 UDP IPv4 tcp6 TCP IPv6 udp6 UDP IPv6 tcp46 Both TCP IPv4 and v6 udp46 Both UDP IPv4 and v6 {wait|nowait}[/max-child[/max-connections-per-ip-per-minute]] wait|nowait 指明从inetd 里头调用的服务是否可以自己处理socket. dgramsocket类型必须使用wait， 而stream socket daemons， 由于通常使用多线程方式，应当使用 nowait. wait 通常usually 把多个socket丢给单个服务进程， 而nowait 则 会为每个新的socket生成一个子进程。 使用max-child选项可以设定针对服务， inetd可以派生出来的最大子进程数量。 如果某特定服务需要限定最高10个实例，把/10 放到nowait后头就可以了。 在max-child之外，还有一个开关可以限制 来自同一个地方，针对某个服务的最大连接数。这个开关就是： max-connections-per-ip-per-minute。 比如，设定该值为10就可以限定单个IP地址去向某服务的连接最大 为每分钟十个。这个对于防止有意或者无意的资源耗尽或者拒绝服 务（DoS）颇有用处。 在这部分，必须选择wait或 nowait。 max-child和 max-connections-per-ip-per-minute 则为可有可无。 一个stream-type多线程的服务，如果没有 max-child或者 max-connections-per-ip-per-minute需要， 一般使用: nowait。 同样的服务，如果需要限制最大连接数，则如下： nowait/10。 此外，如果要限制每分钟单个IP来访连接为20个，同时最多 派生10个进程，可以如下： nowait/10/20。 以上开关都默认被使用在fingerd服务上面， 如下所示： finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s user 该开关指定服务将以什么用户身份运行。一般而言，服务运行身份是 root。基于安全目的，可以看到有些服务以 daemon身份，或者是最小特权的 nobody身份运行。 server-program 当连接到来时，执行服务程序的全路径。如果服务是由 inetd内置提供的，以internal代替。 server-program-arguments 当server-program调用到时，该开关 的值通过argv[0]通过传递给服务而工作。 如果命令行为：mydaemon -d，则 mydaemon -d为server-program-arguments 开关的值。同样的，如果服务是由inetd 内置提供的，这里还是 internal。 随安装时候选择的安全模式不同，部分inetd的服务 会被设为默认打开。如果没有确实的需要，禁止它们！只要在/etc/inetd.conf里头 需要禁止的服务前头加上#，然后 对inetd发送hangup信号。某些服务，比如fingerd， 由于对攻击者提供太多信息，可能对任何人都应该禁止。 某些服务在安全上没有考虑，并且有一些连接超时检测设得很长或没有检测机制。 这回允许攻击者慢慢地发送连接，这样可以导致可用资源的消耗。在某些服务上面加上 max-connections-per-ip-per-minute和max-child 的限制似乎不错。 默认情况下，TCP wrapping 是打开的。参考 &man.hosts.access.5; 手册，以获得更多关于在各种inetd 调用的服务上设置TCP限制的信息。 daytime， time， echo， discard， chargen， 和 auth 都是inetd内置的服务。 auth服务提供 identity （ident， identd）网络服务，并且某种程度上可配置。 参考 &man.inetd.8; 手册获得更多信息。 Tom Rhodes Reorganized and enhanced by Bill Swingle Written by NFS 网络文件系统是FreeBSD支持的文件系统中的一种，也被称为NFS. NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS，用户和程序可以象访问本地文件 一样访问远端系统上的文件。 以下是NFS最显而易见的好处： 本地工作站使用更少的磁盘空间，因为通常的数据可以存放在一 台机器上而且可以通过网络访问到。 用户不必在每个网络上机器里头都有一个home目录。Home目录 可以被放在NFS服务器上并且在网络上处处可用。 诸如软驱，CDROM，和 &iomegazip; 之类的存储设备可以在网络上面被别的机器使用。 这可以减少整个网络上的可移动介质设备的数量。 NFS至少有两个主要部分：一台服务器和一 台（或者更多）客户机。客户机远程访问存放在服务器上的数据。为了 正常工作，一些进程需要被配置并运行。 在 &os; 5.X上面，portmap 被rpcbind替换了。而且，在&os; 5.X上面， the user is required to replace every instance of portmap with rpcbind in the forthcoming examples。 服务器必须运行以下服务： NFS server file server unix clients portmap mountd nfsd 服务 描述 nfsd NFS，为来自NFS客户端的 请求服务。 mountd NFS挂载服务，处理&man.nfsd.8;递交过来的请求。 portmap portmap服务允许 NFS客户端查看NFS服务在用的端口。 客户端同样运行一些进程，比如 nfsiod。 nfsiod处理来自NFS的请求。 这是可选的，而且可以提高性能，对于普通和正确的操作来说并不是必须的。 参考&man.nfsiod.8;手册获得更多信息。 NFS configuration NFS的配置过程相对简单。这个过程只需要 对/etc/rc.conf文件作一些简单修改。 在NFS服务器这端，确认/etc/rc.conf 文件里头以下开关都配上了: portmap_enable="YES" nfs_server_enable="YES" mountd_flags="-r" 只要NFS服务被置为enable，mountd 就能自动运行。 在客户端一侧，确认下面这个开关出现在 /etc/rc.conf里头: nfs_client_enable="YES" /etc/exports文件指定了哪个文件系统 NFS应该输出（有时被称为共享）。 /etc/exports里面每行指定一个输出的文件系统和 哪些机器可以访问该文件系统。在指定机器访问权限的同时，访问选项 开关也可以被指定。有很多开关可以被用在这个文件里头，不过不会在这 里详细谈。您可以通过阅读&man.exports.5; 手册来发现这些开关。 以下是一些/etc/exports的例子： NFS export examples 紧接着的这个例子说明了如何输出一个文件系统，尽管具体设定和您 的环境以及网络配置有关。作为实例，为了输出/cdrom 到三个的例子机器，它们有同样域名（因此他们的域名不大对）或者在您的 /etc/hosts文件里头有纪录。-ro 标志将被输出的文件系统置为只读。由于这个标志，远程系统将无法在被输出 的文件系统上写入任何变动。 /cdrom -ro host1 host2 host3 下面的例子可以输出/home给三个以IP地址方式表示的主机。 对于在没有配置DNS服务器的私有网络里头，这很有用。 此外，the /etc/hosts 文件也可以用以配置主机名；参看 &man.hosts.5; 。 -alldirs 标记允许子目录被作为挂载点。 也就是说，客户端可以根据需要挂载需要的目录。 /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 下面几行输出 /a ，以便两个来自不同域的客户端可以访问文件系统。 -maproot=root 标记授权远端系统上的 root 用户在被输出的文件系统上以root身份进行读写。 如果没有特别指定 -maproot=root 标记， 则即使用户在远端系统上是 root 身份， 也不能修改被输出文件系统上的文件。 /a -maproot=root host.example.com box.example.org 为了能够访问到被输出的文件系统，客户端必须被授权。 请确认客户端在您的 /etc/exports 被列出。 在 /etc/exports 里头，每一行里面，输出信息和文件系统一一对应。 一个远程主机每次只能对应一个文件系统。而且只能有一个默认入口。比如，假设 /usr 是独立的文件系统。这个 /etc/exports 就是无效的： /usr/src client /usr/ports client 一个文件系统，/usr， 有两行指定输出到同一主机， client. 解决这一问题的正确的格式是： /usr/src /usr/ports client The properties of one filesystem exported to a given host must all occur on one line. Lines without a client specified are treated as a single host. This limits how you can export filesystems, but for most people this is not an issue. 下面是一个有效输出列表的例子， /usr and /exports 是本地文件系统： # Export src and ports to client01 and client02, but only # client01 has root privileges on it /usr/src /usr/ports -maproot=root client01 /usr/src /usr/ports client02 # The client machines have root and can mount anywhere # on /exports. Anyone in the world can mount /exports/obj read-only /exports -alldirs -maproot=root client01 client02 /exports/obj -ro 一旦修改 /etc/exports 了之后， 为了让变动生效，您必须重启 mountd。 可以通过对mountd 进程发送HUP信号重启： &prompt.root; kill -HUP `cat /var/run/mountd.pid` 另外，系统重启动可以让FreeBSD把一切都弄好。尽管如此，重启不是必须的。 以 root 身份执行下面的命令可以搞定一切。 在 NFS 服务器端： &prompt.root; portmap &prompt.root; nfsd -u -t -n 4 &prompt.root; mountd -r 在 NFS 客户端： &prompt.root; nfsiod -n 4 现在每件事情都应该就绪，以备挂载一个远端文件系统。 在这些例子里头， 服务器名字将是：server ，而客户端的名字将是： client。 如果您只打算临时挂载一个远端文件系统或者只是打算作测试配置正确与否， 只要在客户端以 root 身份执行下面的命令： NFS mounting &prompt.root; mount server:/home /mnt 这条命令会把服务端的 /home 目录挂载到客户端的 /mnt 上。 如果配置正确，您应该可以进入客户端的 /mnt 目录并且看到所有服务端的文件。 如果您打算让系统每次在重启动的时候都自动挂载远端的文件系统，把那个文件系统加到 /etc/fstab 文件里头去。下面是例子： server:/home /mnt nfs rw 0 0 &man.fstab.5; 手册里有所有可用的开关。 NFS 有很多实际应用。下面是比较常见的一些： NFS uses 多个机器共享一台CDROM或者其他设备。这对于在多台机器中安装软件来说更加便宜跟方便。 在大型网络中，配置一台中心 NFS 服务器用来放置所有用户的home目录可能会带来便利。 这些目录能被输出到网络以便用户不管在哪台工作站上登录，总能得到相同的home目录。 几台机器可以有通用的/usr/ports/distfiles 目录。 这样的话，当您需要在几台机器上安装port时，您可以无需在每台设备上下载而快速访问源码。 Wylie Stilwell Contributed by Chern Lee Rewritten by John Lind Contributed by Bill Swingle Written by Eric Ogren Enhanced by Udo Erdelhoff Udo Erdelhoff Contributed by Greg Sutter Written by Chern Lee Contributed by BIND running in a sandbox Murray Stokely Contributed by web server setting up Apache Murray Stokely Contributed by Samba server Microsoft Windows file server Windows clients print server Windows clients Tom Hukins Contributed by