蒼芎技術筆記本

當架好Ubuntu Linux後，可以進階使用Iptables功能，將Ubuntu變成一台Router並對應到內部的IP開放相關服務，如[ftp][www]...等等。
環境介紹:
Server端
兩張網卡:當然你也可以將一張網卡給兩個IP
eth0:192.168.10.10 ===>外部IP
eth1:192.168.20.10 ===>內部IP(所有內網LAN透過這IP當作Gateway出去)

PC端網路卡設定
IP Address:192.168.20.20
Gateway:192.168.20.10

Ubuntu10 安裝DHCP Server設定，兩張網卡eth0 eth1
eth0:192.168.66.128
eth1:192.168.137.128
將eth1設定為dhcp網段

當重新啟動DNS時會發生rndc: connect failed: 127.0.0.1#953: connection refused 錯誤訊息，解決方式
1.重新產生檔案
$rndc-confgen > /etc/rndc.conf
如下
# key "rndc-key" {
#       algorithm hmac-md5;
#       secret "ozs3jAYNxzKNPmy4GJFqKA==";
# };


2.把上面這段取代掉/etc/bind/rndc.key理面的key "rndc-key"的內容，以前的註解掉
$vim /etc/bind/rndc.key

#key "rndc-key" {
#       algorithm hmac-md5;
#       secret "Ed3VmzsCSMSGLJts09IxEw==";
#};
#=======把上面以前的註解掉===========
key "rndc-key" {
      algorithm hmac-md5;
      secret "ozs3jAYNxzKNPmy4GJFqKA==";
};
#==========用上面這段取代===========

3.重新啟動DNS
$/etc/init.d/bind9 restart

另一個方式
1.查看DNS配置問題，用下面的指令查看
$named -g
/etc/bind/rndc.key: permission denied

$chmod 644 /etc/bind/rcnd.key
$named -g
OK

當你的Ubuntu運行一段時間，記得要去查看 /var/log/auth.log，包準你嚇一跳一堆攻擊sshd的訊息出現，如何阻擋呢??來看一下吧
請安裝denyhosts套件，它會自行分析，並將攻擊IP寫入hosts.deny內

1.安裝denyhosts
#apt-get install denyhosts

2.啟動
#/etc/init.d/denyhosts restart

可以查看設定檔
vim /etc/denyhosts.conf

有時候我們會備份相關資料如/etc資料夾 or 網站資料 or 資料庫，這時可以使用 tar+ logrotate 加入排程讓系統備份7天的資料

1.排程備份/etc資料夾 and /var/www資料夾，壓縮後放到/backup 資料夾內
#crontab -e
0 1 * * * tar zcvf /backup/etc.tar.gz /etc/ > /dev/null 2>&1
0 1 * * * tar zcvf /backup/www.tar.gz /var/www/ > /dev/null 2>&1

2.建議規則檔案，備份七天檔案並循環
#vim /etc/backup.conf
/backup/*gz {
missingok
notifempty
sharedscripts
postrotate
endscript
rotate 7
}

3.加入排程自動做
#crontab -e
58 0 * * * logrotate -f /etc/backup.conf > /dev/null 2>&1

4.完成。記得去/backup/檢查看看

將Linux分享在網路芳鄰上分享資料夾共享or存檔
1.安裝Samba套件
#sudo apt-get install samba

2.更改設定檔案
#vim /etc/samba/smb.conf
[Share]                              ;分享的名稱  
path = /share                  ;路徑位置  
browseable = yes            ;瀏覽權限  
read only = no                 ;可以讀取  
create mask = 0644        ;檔案權限
directory mask = 0755    ;資料夾權限

3.變更資料夾權限==>否則不能新增資料夾
#chmod 777 /share

4.建立帳號密碼
# sudo smbpasswd -a <帳號>  ;一定要passwd裡面有的帳號
輸入兩次密碼

5.啟動Samba
#sudo /etc/init.d/smbd start

6.在windows XP輸入
\\ubuntu_IP
接者會跳出帳號與密碼輸入完就OK

當我們安裝好Ubuntu Server中文語系後，發現指令都會出現亂碼菱形....等等。非常的不方便，建議變更為英文語系

1.
#vim /var/lib/locales/supported.d/local
修改or新增放置在第一行
en_US.UTF-8 UTF-8

2.
#vim /etc/default/locale
LANG="en_US.UTF-8"
LANGUAGE="en_US:en"

3.
#reboot
完成

1.下載webmin
http://www.webmin.com/
目前最新1.540
#wget http://ncu.dl.sourceforge.net/project/webadmin/webmin/1.540/webmin_1.540_all.deb

2.安裝webmin
sudo dpkg -i webmin_1.540_all.deb
這時候螢幕會顯示某些套件需要安裝。

3.安裝其它套件
#sudo apt-get -f install

4.完成安裝webmin
https://[serverIP]:10000 .

===========================================

5.別忘記防火牆要開https and 10000
如果要修改port號可以去/etc/webmin/miniserv.conf

6.修改完記得重新啟動
#/etc/init.d/webmin restart

1.sudo mv /etc/snmp/snmpd.conf snmpd.conf.old
2.sudo vim /etc/snmp/snmpd.conf
內容如下:
syslocation Server Room
syscontact Sysadmin (root@localhost)
rocommunity public 127.0.0.1
#rocommunity public cacti-ip (若要使用請改成cacti的IP)

3.sudo /etc/init.d/snmpd restart

1.安裝套件

#sudo apt-get install phpmyadmin

當你新增好FTP後，接者可以新增一位FTP的管理者，可以刪除檔案與到其他的資料夾，但不允許登入SSH主機

1.sudo useradd ftpadmin

2.sudo passwd ftpadmin
輸入兩次密碼確認

3.sudo vim /etc/passwd 找到ftpadmin
ftpadmin:x:0:0:Ftp Admin,,,:/:/sbin/nologin

4.sudo /etc/init.d/vsftpd reload

5.sudo /etc/init.d/vsftpd restart

6.sudo /etc/vsftpd.choort_list
增加 ftpadmin

7.完成

當你安裝好Apache2之後，可能不只一個網站，這時候你可以使用虛擬網站的方式架設多組網站

1.建立虛擬設定檔

sudo touch /etc/apache2/sites-available/test.abc.com.tw

如果要開放MySql對外連結，請修改以下的檔案

sudo vim /etc/mysql/my.cnf

把 bind-address = 127.0.0.1 註解掉
  #bind-address = 127.0.0.1

別忘記如果有防火牆記得要開，不然還是連不進來
port[3306]

1.sudo apt-get install ethstatus

2.sudo ethstatus -i ppp0

會顯示pppo的目前流量

1.sudo apt-get install bwm-ng

2.bwm-ng

會顯示lo eth0 pppo 三種介面的目前流量

會增加CPU的運算。

1.sudo apt-get install vim

2.vim /etc/vim/vimrc
增加 set nu  ======>顯示行號

當你常常在查看sudo cat /var/log/syslog 時，常常發現一堆的訊息log，當有問題的時候也希望系統幫你寄發mail讓你知道，這時候可以安裝logcheck套件

1. sudo apt-get install logcheck

2.sudo vim /etc/logcheck/logcheck.conf
#改成你要寄到哪一個信箱就可以囉
SENDMAILTO="superman@abc.com.cc"

1.請先參考[Cwrsync for windows教學(需要密碼)]安裝Client端的設定，參考下面的Client端安裝方式，因為我們的Server不是Windows了換成Linux Rsync伺服器

2.參考[Rsync Server安裝與設定]安裝好Rsync套件，並加入密碼檔

3.接者編輯windows client 安裝cwrsync的目錄下[cwrsync.cmd]檔案，輸入以下的文字
  rsync -arHz --password-file=/cygdrive/e/data/cwRsync/rsyncd.secrets /cygdrive/D/adonis/ adonis@rsync.adc.com.tw::myData

說明:
(1)--password-file=/cygdrive/e/data/cwRsync/rsyncd.secrets ===>密碼檔放置的位置
(2)adonis@rsync.adc.com.tw::myData ===> 使用adonis認證上傳到rsync.abc.com.tw伺服器上
(3)rsyncd.secrets  ==>只要輸在在Server端上的所建立使用者的密碼就可以囉，如:123456

4.到DOS視窗點cwrsync.cmd，就可以上傳資料囉。

注意:這台是XP所以沒有問題可以上傳，但是如果你是windows server時會出現錯誤訊息，解決方式就可以參考我的另一篇解決方法

[cwrsync password file must be owned by root when running as root]

想要遠端備份嗎?可以使用Rsync

1.sudo apt-get install rsync

2.sudo vim /etc/default/rsyncd
  RSYNC_ENABLE=false => RSYNC_ENABLE=true

3.sudo touch /etc/rsyncd.conf

當使用win2003 Server安裝cwrsync要傳資料到遠端備份伺服器上，執行後都會出現以下的錯誤訊息:
password file must be owned by root when running as root

兩個步驟可以解決

1.將路徑加入windows系統路徑內[環境變數]:.;D:\apps\cwRsync\bin;D:...............
2.如果你有裝cwrsync server版，在他的bin目錄下會有chown.exe的檔案，將他copy到這台的cwrsync/bin 目錄下:
開啟cmd
3.chmod -c 600 /cygdrive/e/cwrsync/password.txt

4.chown administrator /cygdrive/e/cwrsync/password.txt

完成。

sudo vim /etc/shells
加入下面這段文字。
/sbin/nologin

vim /etc/passwd
修改使用者帳號設定讓他可以使用服務但是不能登入主機，例如guest帳號
guest:x:1001:1001::/home/guest:/bin/sh
改成下面
guest:x:1001:1001::/home/guest:/sbin/nologin