熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> Oracle >> 正文

Linux簡明系統維護手冊(3)

2013-11-13 15:51:14  來源: Oracle 

  )配置samba服務器
  
  
  
    ()構建基於Linux的VPN網絡
  
    構建VPN幾乎是Linux的最高級應用之一了學會了這項技術是足以使你自豪的資本VPN的主要用途就是建立一個加密的通信機制然後通過把所有的你的子網的信息按照特定的方式加密傳輸構成一個邏輯上的虛擬的網絡簡單的說就是一個Linux系統的IP層加密解決方案這裡面需要用到不少組件下面一一介紹
  
    准備工作和安裝
  
     從下載X的內核除了版本(該版本有一個致命錯誤)然後把該內核放置到/usr/src中(這裡我們使用Linuxtargz)然後釋放tar zxvf linuxtargz
  
     刪除原來的連接rm linux
  
     ln –s linuxtargz linux
  
     檢查當前的網卡和SCSI的型號(參見內核升級一章)
  
     cd linux (進入linux目錄)
  
     make menugonfig
  
     make dep
  
     make bzImage
  
     編譯工作做到這裡就打住!
  
     從下載gmp庫的最新版本到/usr/local/src
  
     tar zxvf gmptargz
  
     cd gmp
  
     /configure
  
     make
  
     make install
  
     從下載freeswantargz(我們這裡使用的版本)到/usr/local/src
  
     tar zxvf freeswantargz
  
     從下載xpatchfreeswantargz 這個是補丁文件釋放進入x補丁目錄復制freeswandiff到外面的freeswan源目錄然後回到freeswan源目錄中運行patch –p < freswan.diff
  
    1.19 從下載openssl-0.9.6b版本到/usr/local/src,釋放,進入目錄
  
    1.20 ./config (如果原來系統中有openssl需要先uninstall再安裝,不過一般情況下你可能uninstall不下來8-)。tw.WinGwiT.COm如果無法uninstall,找到他們的路徑,在這裡通過—prefix=參數指定路徑覆蓋舊版本的文件。這裡嚴重建議:如果你沒有把握確定路徑,最好這樣做:到你用的發行包的開發商的FTP站點(如果你用turbolinux就去用redhat就去),用anonymous用戶和隨便一個電子郵件作為密碼登陸,找到你用的發行包版本的生機目錄,然後下載相應的RPM包,注意:這裡的包至少應該是0.9.6b1以上的i386版本。下載完畢後用rpm –Uvh更新。這樣做完了很干淨。
  
    1.21 make (如果你用rpm包升級就不用這個步驟了)
  
    1.22 make test (如果你用rpm包升級就不用這個步驟了)
  
    1.23 make install (如果你用rpm包升級就不用這個步驟了)安裝完了以後執行openssl命令,輸入version看看是不是你剛剛安裝的版本。如果不是,可能沒有覆蓋原來安裝的舊版本。從1.20重新來過
  
    1.24 然後回到freeswan的源目錄,運行:make menugo,在networking options中選擇關於iptables和ipsec相關的所有選項。其中ipsec是freeswan加上的,最好把前面括號中M(模塊方式)換成*(編譯進內核)。下列內核選項應該選上:
  
    進入:Networking Options至少選擇上:
  
  [aidcode]   
  Network packet filtering (replaces ipchains)   
  Network packet filtering debugging (NEW)   進入:IP: Netfilter Configuration --->   <*> Connection tracking (required for masq/NAT) (NEW) FTP protocol support (NEW) IRC protocol support (NEW) [/aidcode]
    注意如果你需要使用DHCP功能需要增加Pachet Socket mmapped IO和Socket Filtering兩個選項參見DHCP一章
  
    等等……
  
    把下面的選項全部標記<*>
  
    返回上一層菜單後把列表選項最下面的凡是IPSEC相關的選項全部選為<*>另外的如果你打算使用撥號連接請在網絡設備支持菜單選擇ppp支持(注意你用的ppp程序一定要版本以上的)
  
     然後檢查網卡和硬盤選項是否正確如果沒有問題就逐層退出然後保存配置
  
     退出後將自動編譯內核等待……
  
     編譯完成後來到/usr/src/linux目錄運行make modules;make modules_install
  
     cp Systemmap /boot/Systemmapvpn
  
     cd arch/i/boot
  
     cp bzImage /boot/vmlinuzvpn
  
     cd /boot
  
     rm Systemmap
  
     ln –s Systemmapvpn Systemmap
  
     vi /etc/nf
  
    增加一段
  
  [aidcode]   boot=/dev/sda   map=/boot/map   install=/boot/bootb   prompt   timeout=   lba   default=linuxvpn   image=/boot/vmlinuz label=linux initrd=/boot/initrd readonly root=/dev/sda   image=/boot/vmlinuzvpn label=linuxvpn initrd=/boot/initrd readonly root=/dev/sda [/aidcode]
     運行lilo更新數據
  
     reboot
  
     啟動後運行ipsec setup restart 應該不報任何錯誤而正常出現freeswan的版本
  
    注意還有一些必要的內核參數配置這些配置可以在rclocal中實現他們是
  
  [aidcode]   echo > /proc/sys/net/ipv/conf/eth/rp_filter   echo > /proc/sys/net/ipv/ip_forward [/aidcode]
    如果你把下面兩項編譯成模塊(前面擴號是M而不是*)
  
  [aidcode]    FTP protocol support (NEW) IRC protocol support (NEW) [/aidcode]
    你需要在rclocal中加上:
  
  [aidcode]   modprobe ip_nat_ftp [/aidcode]
    安裝完了接下來我們將說明幾種VPN的玩法
  
    配置Frees/wan用於支持雙網關通信也就是兩個異地的子網通過一對ipsec的VPN網關進行交互訪問第一種玩法是網絡對網絡的VPN一般的某企業在甲乙兩地(距離相當遠)各有一個辦公室每個辦公室各有一套LAN他們分別通過專線連接到internet網絡上甲LAN上是企業的管理中心運行著企業的管理系統而乙LAN上的用戶也需要使用該管理系統盡管乙LAN可以通過internet(公網)連接過去但是企業的老板說不行!我們的數據不能暴露在公網上必須加密!好了我們的VPN網絡就可以應用於該企業的這種需求首先在甲乙兩個LAN的出口各放置一台我們的Linux服務器他們都安裝好了ipsec(前面說的安裝步驟一個都不少)兩個LAN的數據分別通過各自的這台機器(ipsec gateway)進入公網凡是經過該網關的數據全部都是加密的在效果上兩個LAN的用戶可以互相ping到對方的機器盡管他們可能一個是/網段另一個是/網段的他們好像在同一個局域網中工作沒有界限公共網絡的加密部分對他們來說也是透明的而兩個LAN在公共網絡上交換的數據是密文的這就是虛擬專用網VPN
  
    但願你已經按照前面的步驟順利的安裝好了兩台機器下面我告訴你怎樣配置成網對網的環境
  
     我們先配置甲網的ipsec網關(該網關有兩個網卡我們配置他們的地址分別為eth:和eth:安裝完成後我們首先要做的事情是生成CA證書(用到剛才安裝的openssl)
  
     找到f文件一般在/etc/ssl/中也可能在/var/ssl中或/usr/ssl中(實在不行你就find / name f找找嘛!)要是有好幾個你要搞清楚哪個是你安裝的版本改動其中的default_bits選項的值從然後改動default_days的值到讓期限為年!保存退出
  
     在/var/中建立一個目錄/var/sslca改變該目錄的權限為(chmod /var/sslca)
  
     在你安裝的openssl目錄中找到CAsh腳本注意應該是你當前運行的openssl版本的CAsh
  
     cd /var/sslca 進入到你剛才建立的目錄
  
     比如你剛才找到的CAsh在/usr/lib/ssl/misc/那麼就輸入/usr/lib/ssl/misc/CAsh –newca接下來你會被問到一系列問題問題和回答類似於下面的樣子如果你確認哪些你有把握更改就改比如公司名稱郵件密碼等不能確定的就按照下面的樣子抄上即可
  
  [aidcode]   ~/sslca#/usr/lib/ssl/misc/CAsh newca   CA certificate filename (or enter to create) (enter)   Making CA certificate   Using configuration from /usr/lib/ssl/f   Generating a bit RSA private key   +++   +++   writing new private key to /demoCA/private//cakeypem   Enter PEM pass phrase:(enter password)   Verifying password Enter PEM pass phrase:(e
From:http://tw.wingwit.com/Article/program/Oracle/201311/17409.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.