常用服務器軟件及其配置方法

1、計算機網絡課程設計報告 課題：常用服務器軟件及其配置方法 目錄（1） Apache 服務器配置方法.1（2） MS SQL Server 2005網絡服務器配置方法.7（3） ftp服務器軟件安裝及設置方法.11（4） 常用郵件服務器軟件的設置方法.19 1、 Apache 服務器配置方法作為最流行的Web服務器，Apache Server提供了較好的安全特性，使其能夠應對可能的安全威脅和信息泄漏。 Apache 服務器的安全特性1、 采用選擇性訪問控制和強制性訪問控制的安全策略從Apache 或Web的角度來講，選擇性訪問控制DAC（Discretionary Access Control）

2、仍是基于用戶名和密碼的，強制性訪問控制MAC（Mandatory Access Control）則是依據發(fā)出請求的客戶端的IP地址或所在的域號來進行界定的。對于DAC方式，如輸入錯誤，那么用戶還有機會更正，從新輸入正確的的密碼；如果用戶通過不了MAC關卡，那么用戶將被禁止做進一步的操作，除非服務器作出安全策略調整，否則用戶的任何努力都將無濟于事。、Apache 的安全模塊Apache 的一個優(yōu)勢便是其靈活的模塊結構，其設計思想也是圍繞模塊（Modules）概念而展開的。安全模塊是Apache Server中的極其重要的組成部分。這些安全模塊負責提供Apache Server的訪問控制和認證、授

3、權等一系列至關重要的安全服務。mod_access模塊能夠根據訪問者的IP地址（或域名，主機名等）來控制對Apache服務器的訪問，稱之為基于主機的訪問控制。mod_auth模塊用來控制用戶和組的認證授權（Authentication）。用戶名和口令存于純文本文件中。mod_auth_db和mod_auth_dbm模塊則分別將用戶信息（如名稱、組屬和口令等）存于Berkeley-DB及DBM型的小型數據庫中，便于管理及提高應用效率。mod_auth_digest模塊則采用MD5數字簽名的方式來進行用戶的認證，但它相應的需要客戶端的支持。mod_auth_anon模塊的功能和mod_auth的功

4、能類似，只是它允許匿名登錄，將用戶輸入的E-mail地址作為口令。SSL（Secure Socket Lager），被Apache所支持的安全套接字層協(xié)議，提供Internet上安全交易服務，如電子商務中的一項安全措施。通過對通訊字節(jié)流的加密來防止敏感信息的泄漏。但是，Apache的這種支持是建立在對Apache的API擴展來實現的，相當于一個外部模塊，通過與第三方程序的結合提供安全的網上交易支持。Apache服務器的安全配置Apache具有靈活的設置，所有Apache的安全特性都要經過周密的設計與規(guī)劃，進行認真地配置才能夠實現。Apache服務器的安全配置包括很多層面，有運行環(huán)境、認證與授權

5、設置等。Apache的安裝配置和運行示例如下：1、以Nobody用戶運行一般情況下，Apache是由Root 來安裝和運行的。如果Apache Server進程具有Root用戶特權，那么它將給系統(tǒng)的安全構成很大的威脅，應確保Apache Server進程以最可能低的權限用戶來運行。通過修改httpd.conf文件中的下列選項，以Nobody用戶運行Apache 達到相對安全的目的。User nobodyGroup# -12、ServerRoot目錄的權限為了確保所有的配置是適當的和安全的，需要嚴格控制Apache 主目錄的訪問權限，使非超級用戶不能修改該目錄中的內容。Apache 的主目錄對應

6、于Apache Server配置文件httpd.conf的Server Root控制項中，應為：Server Root /usr/local/apache3、SSI的配置在配置文件access.conf 或httpd.conf中的確Options指令處加入Includes NO EXEC選項，用以禁用Apache Server 中的執(zhí)行功能。避免用戶直接執(zhí)行Apache 服務器中的執(zhí)行程序，而造成服務器系統(tǒng)的公開化。Options Includes Noexec4、阻止用戶修改系統(tǒng)設置在Apache 服務器的配置文件中進行以下的設置，阻止用戶建立、修改 .htaccess文件，防止用戶超越能定

7、義的系統(tǒng)安全特性。AllowOveride NoneOptions NoneAllow from all然后再分別對特定的目錄進行適當的配置。5、改變Apache 服務器的確省訪問特性Apache 的默認設置只能保障一定程度的安全，如果服務器能夠通過正常的映射規(guī)則找到文件，那么客戶端便會獲取該文件，如 host/ root/ 將允許用戶訪問整個文件系統(tǒng)。在服務器文件中加入如下內容：order deny,ellowDeny from all將禁止對文件系統(tǒng)的缺省訪問。6、CGI腳本的安全考慮CGI腳本是一系列可以通過Web服務器來運行的程序。為了保證系統(tǒng)的安全性，應確保CGI的作者是可信的。對C

8、GI而言，最好將其限制在一個特定的目錄下，如cgi-bin之下，便于管理；另外應該保證CGI目錄下的文件是不可寫的，避免一些欺騙性的程序駐留或混跡其中；如果能夠給用戶提供一個安全性良好的CGI程序的模塊作為參考，也許會減少許多不必要的麻煩和安全隱患；除去CGI目錄下的所有非業(yè)務應用的腳本，以防異常的信息泄漏。以上這些常用的舉措可以給Apache Server 一個基本的安全運行環(huán)境，顯然在具體實施上還要做進一步的細化分解，制定出符合實際應用的安全配置方案。Apache Server基于主機的訪問控制Apache Server默認情況下的安全配置是拒絕一切訪問。假定Apache Server內容

9、存放在/usr/local/apache/share 目錄下，下面的指令將實現這種設置：Deny from allAllow Override None則禁止在任一目錄下改變認證和訪問控制方法。同樣，可以用特有的命令Deny、Allow指定某些用戶可以訪問，哪些用戶不能訪問，提供一定的靈活性。當Deny、Allow一起用時，用命令Order決定Deny和Allow合用的順序，如下所示：1、 拒絕某類地址的用戶對服務器的訪問權（Deny）如：Deny from all2、 允許某類地址的用戶對服務器的訪問權（Allow）如：Allow from allDeny和Allow指令后可以輸入多個變量。

10、3、簡單配置實例：Order Allow, DenyAllow from allDeny from 指想讓所有的人訪問Apache服務器，但不希望來自的任何訪問。Order Deny, AllowDeny from all指不想讓所有人訪問，但希望給網站的來訪。Apache Sever的用戶認證與授權概括的講，用戶認證就是驗證用戶的身份的真實性，如用戶帳號是否在數據庫中，及用戶帳號所對應的密碼是否正確；用戶授權表示檢驗有效用戶是否被許可訪問特定的資源。在Apache中，幾乎所有的安全模塊實際上兼顧這兩個方面。從安全的角度來看，用戶的認證和授權相當于選擇性訪問控制。建立用戶的認證授權需要三個步驟

11、：1、建立用戶庫用戶名和口令列表需要存在于文件（mod_auth模塊）或數據庫（mod_auth_dbm模塊）中?；诎踩脑?，該文件不能存放在文擋的根目錄下。如，存放在/usr/local/etc/httpd下的users文件，其格式與UNIX口令文件格式相似，但口令是以加密的形式存放的。應用程序htpasswd可以用來添加或更改程序：htpasswd c /usr/local/etc/httpd/users martin-c表明添加新用戶，martin為新添加的用戶名，在程序執(zhí)行過程中，兩次輸入口令回答。用戶名和口令添加到users文件中。產生的用戶文件有如下的形式：martin:WrU

12、808BHQai36jane:iABCQFQs40E8Mart:FadHN3W753sSU第一域是用戶名，第二個域是用戶密碼。2、配置服務器的保護域為了使Apache服務器能夠利用用戶文件中的用戶名和口令信息，需要設置保護域（Realm）。一個域實際上是站點的一部分（如一個目錄、文檔等）或整個站點只供部分用戶訪問。在相關目錄下的.htaccess文件或httpd.conf ( acces.conf ) 中的段中，由AuthName來指定被保護層的域。在.htaccess文件中對用戶文件有效用戶的授權訪問及指定域保護有如下指定：AuthName “restricted stuff”Authtyp

13、e BasicAuthUserFile /usr/local/etc/httpd/usersRequire valid-user其中，AuthName指出了保護域的域名（Realm Name）。valid-user參數意味著user文件中的所有用戶都是可用的。一旦用戶輸入了一個有效的用戶/口令時，同一個域內的其他資源都可以利用同樣的用戶/口令來進行訪問，同樣可以使兩個不同的區(qū)域共用同樣的用戶/口令。3、告訴服務器哪些用戶擁有資源的訪問權限如果想將一資源的訪問權限授予一組客戶，可以將他們的名字都列在Require之后。最好的辦法是利用組（group）文件。組的操作和標準的UNIX的組的概念類似，

14、任一個用戶可以屬于一個和數個組。這樣就可以在配置文件中利用Require對組賦予某些權限。如：Require group staffRequire group staff adminRequire user adminuser指定了一個組、幾個組或一個用戶的訪問權限。需要指出的是，當需要建立大批用戶帳號時，那么Apache服務器利用用戶文件數據庫將會極大地降低效率。這種情況下，最好采用數據庫格式的帳號文件，譬如 DBM數據庫格式的文件。還可以根據需要利用db格式（mod_auth_db）的數據文件，或者直接利用數據庫，如：mSQL（mod_auth_msql）或DBI兼容的數據庫（mod_au

15、th_dbi）。2、 MS SQL Server 2005網絡服務器配置方法項目使用SQL SERVER 2005數據庫，以前玩過2000的，2005還是有些區(qū)別的，把服務器放在主機上，小組內的其他成員訪問，很簡單的事卻搞了一天，老是出現錯誤，不得不網上搜索解決的方法和自己摸索，最終配好了，下面把配置的方法拿出來共享，這樣大家可以節(jié)約時間，免得再去一個一個的查。這個配置方法在我的機器上是可以的，有些記不清了，如果有問題，歡迎提出來修改。正確安裝SQL Server 2005之后。1. 打開“SQL Server 外圍應用配置器”。2. 點擊“服務和連接的外圍應用配置器”，打開服務和連接的外圍應

16、用配置器對話框，展開“MSSQLSERVER”下的“Database Engine”，然后點擊“遠程連接”，則右側設置“本地連接和遠程連接”下面的“同時使用TCP/IP和named pipes”項。然后應用確定3. 設置例外SQL Server端口。在“控制面板”中打開“Windows防火墻”，選擇“例外選項卡”。點擊添加端口，給個名稱，端口SQL默認的是1433，當然你也可以在“SQL Server Configuration Manager”中的網絡配置中修改。4. 以Windows身份進入SQL Server Management Studio，展開“安全性”->“登錄名”，右鍵新

17、建登錄名，填入登錄名，在“常規(guī)”中，選擇SQL Server身份驗證，并填入密碼。在“用戶映射中”，為用戶在相應的數據庫中設置對應的權限，另外在“狀態(tài)”中，將登錄設置“啟用”。這樣便新建了一個用于網絡登錄SQL服務器的用戶賬號。5.在SQL Server Management Studio中，右鍵點擊服務器，選擇屬性彈出“服務器屬性”對話框，點擊左側的“安全性”，在“服務器身份驗證”項中選擇“SQL Server 和 Windows 身份驗證模式”然后點擊確定。6. 在SQL Server Configuration Manager中，重啟“SQL Server（MSSQLSERVER）”服務

18、。7.在SQL Server Management Studio，可以使用服務器的IP地址和網絡用戶登錄。另外，如果更改了SQL Server的端口，則在此處的“服務器名稱”中填入IP后，用逗號隔開加端口號，如：19,418。3、 ftp服務器軟件安裝及設置方法在做為服務器的機器上安裝了FTP服務器程序，客戶端可在生成的時候直接把生成結果通過FTP方式上傳到FTP服務器。安裝和設置的方法如下：程序安裝：選定作為服務器的設備，運行安裝光盤TOOLS目錄下ServUServU5201.exe程序，開始安裝。安裝順序依次如圖：圖1圖2圖3圖4圖5圖6圖7圖8圖9圖10程序安裝

19、完畢。ftp設置：在服務器硬盤上創(chuàng)建一個文件夾，作為發(fā)送目的地址。比如在X盤上創(chuàng)建一個FTPROOTPATH文件夾，如圖：運行桌面上Serv-U軟件圖標，進入Serv-U界面，如圖在界面左側打開<<Local Server>>,選擇Domains，然后界面右側空白區(qū)域點擊鼠標右鍵，在彈出的菜單中選擇“NEW Domains”輸入服務器的IP地址，點NEXT繼續(xù)，如圖 輸入服務器名稱，點NEXT繼續(xù)，如圖6輸入服務器的端口地址，點NEXT繼續(xù)，如圖6點擊FINISH繼續(xù)7在界面左側選擇USER，在界面右側點擊鼠標右鍵，選擇“NEW USER”， 8創(chuàng)建一個新用戶001，N

20、EXT繼續(xù)，如圖9輸入密碼，NEXT繼續(xù)，如圖10找到剛才在X盤上創(chuàng)建的FTP-ROOTPATH文件夾，作為生成文件上傳目的地址，如圖11選擇“Yes”，點擊FINISH完成服務器端的設置，如圖12在界面右側選擇新創(chuàng)建的用戶001，在界面右側打開Dir Access，如圖所示設置用戶端，點擊Apply完成設置。4、 常用郵件服務器軟件的設置方法 l Foxmail 1.點擊Foxmail主窗口菜單的“選項系統(tǒng)設置代理”選項頁，選中“郵件代理服務器”復選框。 2.在“類型”一欄中選擇“Socks 4”或者“Socks 5”。這需要根據代理服務器中建立的代理服務器類型進行選擇，有些代理服務器軟件同

21、時支持“Socks 4”和“Socks 5”。 3.在“服務器”一欄填寫代理服務器軟件所在電腦的計算機名稱或者IP地址。 4.在“端口”一欄填寫代理服務器使用的端口號，默認值是1080。如果在代理服務器軟件中做了修改，這一欄也要相應改動，與服務器使用相同的端口號。 5.如果采用Socks5，并且代理服務器中設置了需要對用戶進行身份驗證，那么，需要填寫正確的“用戶ID”和“密碼”才能通過該代理服務器收發(fā)郵件。 注意：如果采用Socks 4，使用Foxmail的機器應該在系統(tǒng)的TCP/IP屬性對話框中設置正確的DNS服務器地址，否則，需要在Foxmail賬戶屬性的郵件服務器中填寫接收郵件和發(fā)送郵件

22、服務器的IP地址。l WinGate 以WinGate 4.4.0版本為例，其他版本設置方法大致相同。 1.建立Socks代理服務器 （1）運行WinGate程序組下的GateKeeper，點擊主窗口左下方的“Svervices”頁，打開用戶服務列表。 （2）在用戶服務器列表點擊鼠標右鍵，選擇“Socks Service”，在“General”頁可設置服務的啟動方式和端口號。 （3）點擊“OK”按鈕，關閉屬性對話框，所建立的“Socks Proxy Sever”已經自動啟動。 2.建立HTTP Proxy代理服務器 （1）運行WinGate程序組下的GateKeeper，點擊左下方的“Svervices”頁，打開用戶服務列表。 （2）在用戶服務器列表點擊鼠標右鍵，選擇“WWW Proxy Service”，在“General”頁可設置服務的啟動方式和端口號。 （3）點擊“OK”按鈕，關閉屬性對話框，所建立的“WWW Proxy Sever”已經自動啟動。l SyGate SyGate基于NAT（網絡地址轉換），電子郵件和瀏覽器并不需要特別設置，SyGate自動分配所需參數給每一部電腦。如果您的局域網服務器使用SyGate 4.0和客戶機連接，那么客戶機不需要安裝任何軟件或硬件就能夠