常用服务器软件配置方法

计算机网络课程设计报告

  课题：常用服务器软件及其配置方法

    目录

Apache 服务器配置方法.....................................................1

MS SQL Server 2005网络服务器配置方法.......................7

ftp服务器软件安装及设置方法.........................................11

常用邮件服务器软件的设置方法....................................19  

Apache 服务器配置方法

作为最流行的Web服务器，Apache Server提供了较好的安全特性，使其能够应对可能的安全威胁和信息泄漏。

　　Apache 服务器的安全特性

　　1、 采用选择性访问控制和强制性访问控制的安全策略

　　从Apache 或Web的角度来讲，选择性访问控制DAC（Discretionary Access Control）仍是基于用户名和密码的，强制性访问控制MAC（Mandatory Access Control）则是依据发出请求的客户端的IP地址或所在的域号来进行界定的。对于DAC方式，如输入错误，那么用户还有机会更正，从新输入正确的的密码；如果用户通过不了MAC关卡，那么用户将被禁止做进一步的操作，除非服务器作出安全策略调整，否则用户的任何努力都将无济于事。

　　２、Apache 的安全模块

　　Apache 的一个优势便是其灵活的模块结构，其设计思想也是围绕模块（Modules）概念而展开的。安全模块是Apache Server中的极其重要的组成部分。这些安全模块负责提供Apache Server的访问控制和认证、授权等一系列至关重要的安全服务。

　　mod_access模块能够根据访问者的IP地址（或域名，主机名等）来控制对Apache服务器的访问，称之为基于主机的访问控制。

　　mod_auth模块用来控制用户和组的认证授权（Authentication）。用户名和口令存于纯文本文件中。mod_auth_db和mod_auth_dbm模块则分别将用户信息（如名称、组属和口令等）存于Berkeley-DB及DBM型的小型数据库中，便于管理及提高应用效率。

　　mod_auth_digest模块则采用MD5数字签名的方式来进行用户的认证，但它相应的需要客户端的支持。

　　mod_auth_anon模块的功能和mod_auth的功能类似，只是它允许匿名登录，将用户输入的E-mail地址作为口令。

　　SSL（Secure Socket Lager），被Apache所支持的安全套接字层协议，提供Internet上安全交易服务，如电子商务中的一项安全措施。通过对通讯字节流的加密来防止敏感信息的泄漏。但是，Apache的这种支持是建立在对Apache的API扩展来实现的，相当于一个外部模块，通过与第三方程序的结合提供安全的网上交易支持。

　　Apache服务器的安全配置

　　Apache具有灵活的设置，所有Apache的安全特性都要经过周密的设计与规划，进行认真地配置才能够实现。Apache服务器的安全配置包括很多层面，有运行环境、认证与授权设置等。Apache的安装配置和运行示例如下：

　　1、以Nobody用户运行

　　一般情况下，Apache是由Root 来安装和运行的。如果Apache Server进程具有Root用户特权，那么它将给系统的安全构成很大的威胁，应确保Apache Server进程以最可能低的权限用户来运行。通过修改httpd.conf文件中的下列选项，以Nobody用户运行Apache 达到相对安全的目的。

　　User nobody

　　Group# -1

　　2、ServerRoot目录的权限

　　为了确保所有的配置是适当的和安全的，需要严格控制Apache 主目录的访问权限，使非超级用户不能修改该目录中的内容。Apache 的主目录对应于Apache Server配置文件httpd.conf的Server Root控制项中，应为：

　　Server Root /usr/local/apache

　　3、SSI的配置

　　在配置文件access.conf 或httpd.conf中的确Options指令处加入Includes NO EXEC选项，用以禁用Apache Server 中的执行功能。避免用户直接执行Apache 服务器中的执行程序，而造成服务器系统的公开化。

　　

　　Options Includes Noexec

　　4、阻止用户修改系统设置

　　在Apache 服务器的配置文件中进行以下的设置，阻止用户建立、修改 .htaccess文件，防止用户超越能定义的系统安全特性。

　　AllowOveride None
　　Options None
　　Allow from all
　　
　　然后再分别对特定的目录进行适当的配置。

　　5、改变Apache 服务器的确省访问特性

　　Apache 的默认设置只能保障一定程度的安全，如果服务器能够通过正常的映射规则找到文件，那么客户端便会获取该文件，如http://local host/~ root/ 将允许用户访问整个文件系统。在服务器文件中加入如下内容：

　　order deny,ellow
　　Deny from all

　　将禁止对文件系统的缺省访问。

　　6、CGI脚本的安全考虑

　　CGI脚本是一系列可以通过Web服务器来运行的程序。为了保证系统的安全性，应确保CGI的作者是可信的。对CGI而言，最好将其限制在一个特定的目录下，如cgi-bin之下，便于管理；另外应该保证CGI目录下的文件是不可写的，避免一些欺骗性的程序驻留或混迹其中；如果能够给用户提供一个安全性良好的CGI程序的模块作为参考，也许会减少许多不必要的麻烦和安全隐患；除去CGI目录下的所有非业务应用的脚本，以防异常的信息泄漏。

　　以上这些常用的举措可以给Apache Server 一个基本的安全运行环境，显然在具体实施上还要做进一步的细化分解，制定出符合实际应用的安全配置方案。

　　Apache Server基于主机的访问控制

　　Apache Server默认情况下的安全配置是拒绝一切访问。假定Apache Server内容存放在/usr/local/apache/share 目录下，下面的指令将实现这种设置：

　　Deny from all
　　Allow Override None

　　则禁止在任一目录下改变认证和访问控制方法。

　　同样，可以用特有的命令Deny、Allow指定某些用户可以访问，哪些用户不能访问，提供一定的灵活性。当Deny、Allow一起用时，用命令Order决定Deny和Allow合用的顺序，如下所示：

　　1、 拒绝某类地址的用户对服务器的访问权（Deny）

　　如：Deny from all
　　Deny from test.cnn.com
　　Deny from 204.168.190.13
　　Deny from 10.10.10.0/255.255.0.0

　　2、 允许某类地址的用户对服务器的访问权（Allow）

　　如：Allow from all
　　Allow from test.cnn.com
　　Allow from 204.168.190.13
　　Allow from 10.10.10.0/255.255.0.0
　　Deny和Allow指令后可以输入多个变量。

　　3、简单配置实例：
　　Order Allow, Deny
　　Allow from all
　　Deny from www.test.com
　

指想让所有的人访问Apache服务器，但不希望来自www.test.com的任何访问。

　　Order Deny, Allow
　　Deny from all
　　Allow from test.cnn.com

　　指不想让所有人访问，但希望给test.cnn.com网站的来访。

　　Apache Sever的用户认证与授权

　　概括的讲，用户认证就是验证用户的身份的真实性，如用户帐号是否在数据库中，及用户帐号所对应的密码是否正确；用户授权表示检验有效用户是否被许可访问特定的资源。在Apache中，几乎所有的安全模块实际上兼顾这两个方面。从安全的角度来看，用户的认证和授权相当于选择性访问控制。

　　建立用户的认证授权需要三个步骤：

　　1、建立用户库

　　用户名和口令列表需要存在于文件（mod_auth模块）或数据库（mod_auth_dbm模块）中。基于安全的原因，该文件不能存放在文挡的根目录下。如，存放在/usr/local/etc/httpd下的users文件，其格式与UNIX口令文件格式相似，但口令是以加密的形式存放的。应用程序htpasswd可以用来添加或更改程序：

　　htpasswd –c /usr/local/etc/httpd/users martin

　　-c表明添加新用户，martin为新添加的用户名，在程序执行过程中，两次输入口令回答。用户名和口令添加到users文件中。产生的用户文件有如下的形式：

　　martin:WrU808BHQai36

　　jane:iABCQFQs40E8M

　　art:FadHN3W753sSU

　　第一域是用户名，第二个域是用户密码。

　　2、配置服务器的保护域

　　为了使Apache服务器能够利用用户文件中的用户名和口令信息，需要设置保护域（Realm）。一个域实际上是站点的一部分（如一个目录、文档等）或整个站点只供部分用户访问。在相关目录下的.htaccess文件或httpd.conf ( acces.conf ) 中的段中，由AuthName来指定被保护层的域。在.htaccess文件中对用户文件有效用户的授权访问及指定域保护有如下指定：

　　AuthName “restricted stuff”
　　Authtype Basic
　　AuthUserFile /usr/local/etc/httpd/users
　　Require valid-user

　　其中，AuthName指出了保护域的域名（Realm Name）。valid-user参数意味着user文件中的所有用户都是可用的。一旦用户输入了一个有效的用户/口令时，同一个域内的其他资源都可以利用同样的用户/口令来进行访问，同样可以使两个不同的区域共用同样的用户/口令。

　　3、告诉服务器哪些用户拥有资源的访问权限

　　如果想将一资源的访问权限授予一组客户，可以将他们的名字都列在Require之后。最好的办法是利用组（group）文件。组的操作和标准的UNIX的组的概念类似，任一个用户可以属于一个和数个组。这样就可以在配置文件中利用Require对组赋予某些权限。如：

　　Require group staff
　　Require group staff admin
　　Require user adminuser

　　指定了一个组、几个组或一个用户的访问权限。

　　需要指出的是，当需要建立大批用户帐号时，那么Apache服务器利用用户文件数据库将会极大地降低效率。这种情况下，最好采用数据库格式的帐号文件，譬如 DBM数据库格式的文件。还可以根据需要利用db格式（mod_auth_db）的数据文件，或者直接利用数据库，如：mSQL（mod_auth_msql）或DBI兼容的数据库（mod_auth_dbi）。

MS SQL Server 2005网络服务器配置方法

项目使用SQL SERVER 2005数据库，以前玩过2000的，2005还是有些区别的，把服务器放在主机上，小组内的其他成员访问，很简单的事却搞了一天，老是出现错误，不得不网上搜索解决的方法和自己摸索，最终配好了，下面把配置的方法拿出来共享，这样大家可以节约时间，免得再去一个一个的查。这个配置方法在我的机器上是可以的，有些记不清了，如果有问题，欢迎提出来修改。

正确安装SQL Server 2005之后。

1. 打开“SQL Server 外围应用配置器”。

2. 点击“服务和连接的外围应用配置器”，打开服务和连接的外围应用配置器对话框，展开“MSSQLSERVER”下的“Database Engine”，然后点击“远程连接”，则右侧设置“本地连接和远程连接”下面的“同时使用TCP/IP和named pipes”项。然后应用确定

3. 设置例外SQL Server端口。在“控制面板”中打开“Windows防火墙”，选择“例外选项卡”。点击添加端口，给个名称，端口SQL默认的是1433，当然你也可以在“SQL Server Configuration Manager”中的网络配置中修改。

4. 以Windows身份进入SQL Server Management Studio，展开“安全性”->“登录名”，右键新建登录名，填入登录名，在“常规”中，选择SQL Server身份验证，并填入密码。在“用户映射中”，为用户在相应的数据库中设置对应的权限，另外在“状态”中，将登录设置“启用”。这样便新建了一个用于网络登录SQL服务器的用户账号。

5.在SQL Server Management Studio中，右键点击服务器，选择属性弹出“服务器属性”对话框，点击左侧的“安全性”，在“服务器身份验证”项中选择“SQL Server 和 Windows 身份验证模式”然后点击确定。

6. 在SQL Server Configuration Manager中，重启“SQL Server（MSSQLSERVER）”服务。

7.在SQL Server Management Studio，可以使用服务器的IP地址和网络用户登录。另外，如果更改了SQL Server的端口，则在此处的“服务器名称”中填入IP后，用逗号隔开加端口号，如：222.195.11.219,418。

ftp服务器软件安装及设置方法

在做为服务器的机器上安装了FTP服务器程序，客户端可在生成的时候直接把生成结果通过FTP方式上传到FTP服务器。安装和设置的方法如下：

程序安装：

选定作为服务器的设备，运行安装光盘TOOLS目录下ServU\ServU5201.exe程序，开始安装。安装顺序依次如图：

图1

图2

图3

图4

图5

图6

图7

图8

图9

图10

程序安装完毕。

ftp设置：

在服务器硬盘上创建一个文件夹，作为发送目的地址。比如在X盘上创建一个FTP—ROOTPATH文件夹，如图：

运行桌面上Serv-U软件图标，进入Serv-U界面，如图

在界面左侧打开<<Local Server>>,选择Domains，然后界面右侧空白区域点击鼠标右键，在弹出的菜单中选择“NEW Domains”

输入服务器的IP地址，点NEXT继续，如图

输入服务器名称，点NEXT继续，如图

6．输入服务器的端口地址，点NEXT继续，如图

6．点击FINISH继续

7．在界面左侧选择USER，在界面右侧点击鼠标右键，选择“NEW USER”，

8．创建一个新用户001，NEXT继续，如图

9．输入密码，NEXT继续，如图

10．找到刚才在X盘上创建的FTP-ROOTPATH文件夹，作为生成文件上传目的地址，如图

11．选择“Yes”，点击FINISH完成服务器端的设置，如图

12．在界面右侧选择新创建的用户001，在界面右侧打开Dir Access，如图所示设置用户端，点击Apply完成设置。

常用邮件服务器软件的设置方法  

Foxmail

   1.点击Foxmail主窗口菜单的“选项→系统设置→代理”选项页，选中“邮件代理服务器”复选框。

   2.在“类型”一栏中选择“Socks 4”或者“Socks 5”。这需要根据代理服务器中建立的代理服务器类型进行选择，有些代理服务器软件同时支持“Socks 4”和“Socks 5”。

   3.在“服务器”一栏填写代理服务器软件所在电脑的计算机名称或者IP地址。

   4.在“端口”一栏填写代理服务器使用的端口号，默认值是1080。如果在代理服务器软件中做了修改，这一栏也要相应改动，与服务器使用相同的端口号。

   5.如果采用Socks5，并且代理服务器中设置了需要对用户进行身份验证，那么，需要填写正确的“用户ID”和“密码”才能通过该代理服务器收发邮件。

   注意：如果采用Socks 4，使用Foxmail的机器应该在系统的TCP/IP属性对话框中设置正确的DNS服务器地址，否则，需要在Foxmail账户属性的邮件服务器中填写接收邮件和发送邮件服务器的IP地址。

WinGate

   以WinGate 4.4.0版本为例，其他版本设置方法大致相同。

   1.建立Socks代理服务器

   （1）运行WinGate程序组下的GateKeeper，点击主窗口左下方的“Svervices”页，打开用户服务列表。

   （2）在用户服务器列表点击鼠标右键，选择“Socks Service”，在“General”页可设置服务的启动方式和端口号。

   （3）点击“OK”按钮，关闭属性对话框，所建立的“Socks Proxy Sever”已经自动启动。

2.建立HTTP Proxy代理服务器

   （1）运行WinGate程序组下的GateKeeper，点击左下方的“Svervices”页，打开用户服务列表。

   （2）在用户服务器列表点击鼠标右键，选择“WWW Proxy Service”，在“General”页可设置服务的启动方式和端口号。

   （3）点击“OK”按钮，关闭属性对话框，所建立的“WWW Proxy Sever”已经自动启动。

SyGate

   SyGate基于NAT（网络地址转换），电子邮件和浏览器并不需要特别设置，SyGate自动分配所需参数给每一部电脑。如果您的局域网服务器使用SyGate 4.0和客户机连接，那么客户机不需要安装任何软件或硬件就能够上网和收发邮件。具体的设置方法请参考相关资料。

   SyGate也支持Socks 5，如果需要使用，请按以下方法进行设置。

   点击SyGate工具栏的“Advanced…→Configuration”按钮，选中对话框右下方的“Enable Build-in Socks5 Server”复选框。点击“OK”按钮确定。

MSProxy

   MSProxy是微软公司推出的代理服务器软件。在服务器端安装该软件后，如果Foxmail所在的客户机上安装MSProxy Client软件，Foxmail中不需要做任何设置。如果不安装MSProxy Client，MSProxy支持Socks 4和HTTP代理服务器协议。

CProxy

   CProxy是一款非常不错的代理服务器软件，支持多种代理服务器协议。

   1.Socks代理服务器设置

   运行CProxy，点击菜单的“Protocols→Socks Options”，在密码输入框中输入密码，初始密码是“Asecret”；在“Socks Options”对话框的“Listen to which”一栏设置端口号，默认值是1080；在“DNS Address”一栏填写当地电信局提供的DNS服务器IP地址。如果需要对使用该代理服务器的用户进行身份验证，在“Allow Authentication Method”下选中“Username/Password”复选框，并且不选中“None”复选框，然后点击“Edit Users”按钮，添加允许使用该代理服务器的用户。

   2.HTTP代理服务器设置

   运行CProxy，点击菜单的“Protocols→HTTP Options”。在弹出的密码输入框中输入密码，初始密码是“Asecret”。在“HTTP Options”对话框可以置端口号、请求时间等参数。