提高服务器端的安全策略

• 如果工作站或者笔记本不需要OpenSSH服务，那么就禁用SSHD服务。

• SSH 协议版本1有很多漏洞和安全问题，应该避免使用SSH-1，可通过在 sshd_config文件中配置如下信息来启用SSH-2：Protocol 2。

• 限制用户访问SSH。默认所有系统用户都可以通过 SSH登录，只需要用密码或者公钥即可。通过sshd_config文件中的 AllowUsers和DenyUsers来设置可访问SSH服务的用户名单。

• 配置空闲登出的超时间隔。如果长时间没有任何动作的话，可通过设置空闲超时时间来让登录的用户自动登出，以避免一些不必要的ssh会话连接。

• 禁止 root 帐号通过SSH登录。没必要让root帐号通过ssh登录，可通过正常用户登录后然后执行su或者sudo来执行root权限的操作，可在sshd_config中禁用 root 帐号登录。

• 防火墙处理SSH 端口#22。需要在防火墙规则中打开22端口，除非服务器只允许通过局域网访问。

Web服务器

• Linux系统中最常使用的Web服务器是Apache HTTP Server。
• Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行。
• 特点：代码开源、多平台、支持最新的http、快速方便部署
• 官网： http://httpd.apache.org/

Web服务器工作原理

FTP服务器

• FTP（File Transfer Protocol）即文件传输协议，是一种基于TCP的协议，采用客户/服务器模式。通过FTP协议，用户可以在FTP服务器中进行文件的上传或下载等操作。
• FTP是用来在两台计算机之间传输文件，可根据实际需要设置各用户的使用权限，同时还具有跨平台的特性，即在UNIX、Linux和Windows等操作系统中都可实现FTP客户端和服务器，相互之间可跨平台进行文件的传输。因此，FTP服务是网络中经常采用的资源共享方式之一。
• 在Linux下实现FTP服务的软件很多，最常见的有vsFTPD、WU-FTPD、ProFTP等。
• vsFTPD是一个功能强大的FTP服务器，能运行在大部分的Unix和Linux操作系统上

Samba服务器

1

• Samba能够为选定的Unix或Linux目录（包括所有子目录）建立网络共享。
• 使得Windows用户可以像访问普通Windows下的文件夹那样来通过网络访问这些Unix或Linux目录。
• Samba是遵循GNU GPL的自由软件
• 从1992年，为所有使用SMB/CIFS的客户端（如DOS和Windows、OS2、Linux、Unix）提供安全、稳定和快速文件和打印服务。
• Windows 2000、Windows XP、Windows NT、Windows 95、OS/2 Warp Connect和OS/2 Warp 4客户端在连接Smaba服务器并使用共享服务时不需要安装额外的软件。
• 官网：http://www.Samba.org/

主要功能

• 共享文件：linux-linux NIS
  Windows-Windows “网上邻居”
  局域网中既有Linux又有Windows？？？

• 主要功能：

1. 共享文件和打印服务
2. 提供用户登录SAMBA主机的身份认证，提供不同身份用户的个别数据
3. 进行Windows网络上主机名解析
4. 进行设备共享

Mail服务器

1）Postfix

• Postfix在性能上大约比sendmail快三倍，一台运行Postfix的PC机每天可以收发上百万封邮件。
• Postfix与sendmail兼容，从而使sendmail用户可以很方便地迁移到Postfix。
• Postfix被设计成在重负荷之下仍然可以正常工作，当系统运行超出了可用的内存或磁盘空间时，Postfix会自动减少运行进程的数目；当处理的邮件数目增长时，Postfix运行的进程不会跟着增加

（2）ExtMail

• Extmail是国内唯一活跃开发的中文开源邮件系统软件。
• 最早诞生于2004年底，2005年9月正式发布。
• 从最初的WebMail逐步发展成完整的邮件系统，并最早发布集成ExtMail的定制版Linux系统EMOS，极大地简化了安装设置，将用户从大量源码包和杂乱的文档中解放出来。

DNS服务器

• DNS负责将主机名转换为实际的IP地址，或将IP地址转换为主机名，这个地址翻译的过程称为域名解析，负责域名解析的服务器为域名服务器
• 各个网络的域名服务器构成分布式的域名数据库，每个网络的DNS维护自身局域网中的所有主机名和IP地址信息。

1. 主域名服务器 信息管理、更新和维护
2. 辅助域名服务器 定期下载更新
3. 缓存域名服务器 存储从上级域或其他DNS域接收到的消息。

（1）主域名服务器（Master Server）

• 主要完成域内主机名及其相关信息的管理、更新和维护。
• 一个DNS服务器通常包括四类数据库：根域、正向解析域、反向解析域和反向回数、解析域。

（2）辅助域名服务器（Slave Server）

• 当主、辅DNS服务器同时存在时，DNS数据库的信息管理、更新和维护在主DNS服务器完成。
• 辅DNS的进程初次启动时，向主DNS服务器请求并下载域内的数据库信息，此后，辅DNS服务器定期向主DNS服务器发出请求，并比较两者数据库文件的最后修改日期，若相同则无需更新，否则自动下载并更新。

(3）缓存域名服务器

• 缓存服务器是利用服务器缓存来存储从上级域或其它DNS域收到的信息，一直到信息过期或作废为止，缓存DNS服务器对任何分区都没有代理权限。
• 它只控制查询，并向有权限的DNS服务器请求需要的信息。它不管理和维护任何DNS数据库的信息。

SSH

• SSH（Secure Shell）是使用终端登录Linux时所使用的传输协议。这个是一种加密的传输方式，将要发送给Linux端的信息进行加密传输，是一种安全且可靠传输方式（通过使用公共密钥加密进行服务器身份验证）
• OpenSSH是ssh协议的开源实现，可以远程登录和备份，并通过scp和sFTP进行远程文件传输。ssh默认端口TCP22
  

SSH的登录

1. 用户名和密码登录
   ssh 用户名@服务器地址
   示例： ssh user1@192.168.1.10
   

SSH免密登录(密钥对登录)

• ssh –keygen 客户端生成两个秘钥文件
• ssh-copy-id user1@192.168.1.10 将pub公钥传给服务器

DHCP服务器

• 动态主机配置协议DHCP
• 在使用TCP/IP协议的网络上，每个计算机拥有唯一的计算机名和IP地址。 DHCP协议将DHCP服务器中的IP地址动态地分配给局域网中指定的客户机，从而减轻网络管理员的负担。

systemctl命令

• 所有的服务启动脚本放置在/etc/init.d/目录

• /etc/init.d/daemon start(/stop/restart/status)

• systemctl 命令实现system的启动服务的机制

 例如：查看chronyd服务状态，将状态设为关闭，并设开机不会启动
[root@wxhost ~]#systemctl status chronyd.service
[root@wxhost ~]#systemctl stop chronyd.service
[root@wxhost ~]#systemctl disable chronyd.service
(从/etc/systemd/system下删除链接一条链接文件)

总结

• Linux就是依靠互联网才迅速发展起来的，因此Linux系统最重要的功能之一是强大的网络功能。
• 远程访问是Linux服务器使用中必不可少的操作。
• OpenSSH 是 SSH 协议的开源实现，已经成为很多发行版自带的工具软件。
• Linux支持的网络服务非常丰富，特别是Apache HTTP服务器、FTP 服务器、Samba服务器、Mail服务器、DNS服务器，以及DHCP服务器。