ubuntu搭建dns服务器 linux服务器搭建教程
各位老铁们,大家好,今天由我来为大家分享ubuntu搭建dns服务器,以及linux服务器搭建教程的相关问题知识,希望对大家有所帮助。如果可以帮助到大家,还望关注收藏下本站,您的支持是我们最大的动力,谢谢大家了哈,下面我们开始吧!
Ubuntu上基于dnsmasq配置DNS与DHCP服务器
导入全新Ubuntu虚拟机前,需确保DNS主机与测试机虚拟网卡接入同一虚拟交换机。
以ens192网卡为例,配置地址为10.2.0.1,网关也为10.2.0.1(DNS与网关位于同一设备)。
验证网络配置修改是否成功。
安装dnsmasq,并关闭系统自带resolved服务,以避免功能冲突和端口冲突。执行以下代码进行dnsmasq的安装。
安装完成后,dnsmasq会自动启动,并检查状态是否为running。
配置DHCP,添加DHCP配置,并重启dnsmasq服务,查看服务状态为running。
通过DHCP服务器开启tcpdump并监听配置的本地网卡,上电验证机,修改网卡配置为DHCP,重启网络服务,验证是否分配到IP,并校验DHCP服务器上是否有验证机发来的数据包。
以centos为例,验证机需修改网卡配置为DHCP,重启网络服务,校验IP分配,并查看DHCP服务器上是否有分配IP发来的包。
配置DNS,dnsmasq的解析流程包括先解析/etc/hosts文件,再解析/etc/dnsmasq.d/下的*.conf文件,最后查询自定义的resolv.dnsmasq.conf中的DNS。
添加DNS配置,可通过修改hosts文件、添加或修改dnsmasq.conf文件,或新建自定义的/etc/resolv.dnsmasq.conf文件,并在dnsmasq.conf中指定加载新建的conf文件,然后重启dnsmasq。
通过开启tcpdump并监听配置的本地网卡,上电验证机,ping待解析的域名,校验能否ping通,并查看DNS服务器上是否有验证机发来的数据包。
在验证机上ping刚配置的域名,校验其指向的地址与DNS服务器上的配置是否相同,并查看DNS服务器端是否接收到验证机发来的询问报文。
Ubuntu系统配置DNS服务器的地址
配置Ubuntu系统DNS服务器地址,首先在终端输入
vim/etc/systemd/resolved.conf
进入编辑模式,添加或修改DNS地址如下
在文件中找到或添加
[Resolve] DNS=8.8.8.8 DNS=10.80.36.6
这里可以添加多个DNS服务器地址以提高网络稳定性
保存并退出vim编辑器后,执行以下命令重新加载配置
sudo systemctl restart systemd-resolved
为了验证DNS配置是否成功,执行以下几条命令
sudo lshw-numeric-class network查看网络硬件信息
sudo ifconfig-a显示当前网络接口状态
sudo route-nv查看路由表
sudo dhclient-v显示DHCP客户端操作
最后,执行
ping-c 4 www.google.com检测网络连接
如果ping命令返回正常响应,表示DNS配置成功,网络连接稳定
如何在Ubuntu上搭建一台安全的Apache Web服务器
本教程假设你已有一台在运行的Ubuntu服务器,网络方面已设置好,而且可以通过SSH进行访问。
Apache2是许多安装的Linux发行版使用的默认Web服务器。它不是对所有环境来说唯一可用的Web服务器,也不是最佳的Web服务器,但是它适合许多使用场景。在安装过程中,系统可能会询问你哪个Web服务器要自动重新配置。选择“apache2”即可。
安装Apache2
使用下面这个命令,安装Apache2及其他库。
$ sudo apt-get-y install apt-get install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt libapache2-mod-suphp libopenssl-ruby libapache2-mod-ruby
更新时区(TimeZone)和检查正确时间
为了减小共享数据或镜像数据方面的混淆,所有服务器在运行时都应该尽可能接近同步状态。一些加密密钥管理系统需要准确的时间。最后,就企业服务器而言,《萨班斯-奥克斯利法案》(Sarbanes-Oxley)和《健康保险可携性及责任性法案》(HIPAA)的安全规则要求正确的时间戳机制。
$ sudo apt-get-y install openntpd tzdata
$ sudo dpkg-reconfigure tzdata
$ sudo service openntpd restart
禁止AppArmor冲突
虽然AppArmor这个套件的确提供了一层额外的安全,但在我看来,需要为每个系统创建自定义配置文件。这不是本教程所探讨的内容。所以眼下,我们会禁用AppArmor,防止与任何默认的配置发生冲突。
$ sudo/etc/init.d/apparmor stop
$ sudo update-rc.d-f apparmor remove
$ sudo apt-get remove apparmor apparmor-utils
注意:如果是生产环境下的Web服务器,不建议禁用AppArmor。如果有些人想创建自定义的AppArmor配置文件,请参阅官方说明文档()。
阻止分布式拒绝服务(DDoS)攻击
DDoS攻击是一种分布式拒绝服务攻击。有一个Apache模块可以阻止这类攻击。
$ sudo apt-get-y install libapache2-mod-evasive
$ sudo mkdir-p/var/log/apache2/evasive
$ sudo chown-R www-data:root/var/log/apache2/evasive
把下面这个命令添加到mod-evasive.load的末尾处。
$ sudo nano/etc/apache2/mods-available/mod-evasive.load DOSHashTableSize 2048
DOSPageCount 20#请求同一页面的最大数量
DOSSiteCount 300#同一侦听器上同一客户端IP请求任何对象的总数量
DOSPageInterval 1.0#页面数量阈值的间隔
DOSSiteInterval 1.0#站点数量阈值的间隔
DOSBlockingPeriod 10.0#客户机IP被阻止的时间段
DOSLogDir“/var/log/apache2/evasive”
DOSEmailNotify admin@domain.com
阻止Slowloris攻击
还有一个Apache模块可以阻止Slowloris攻击,不过模块名称取决于你使用的Ubuntu的具体版本。如果是Ubuntu 12.10或以后版本:
$ sudo apt-get-y install libapache2-mod-qos
然后,检查qos.conf中的配置:
$ sudo nano/etc/apache2/mods-available/qos.conf
##服务质量方面的设置
#处理来自多达100000个不同IP的连接
QS_ClientEntries 100000
#只允许每个IP仅50条连接
QS_SrvMaxConnPerIP 50
#活动TCP连接的最大数量限制在256条
MaxClients 256
#当70%的TCP连接被占用时,禁用保持活动连接状态
QS_SrvMaxConnClose 180
#最小请求/响应速度(拒绝阻塞服务器的慢速客户端,即slowloris保持连接开启,不提出任何请求):
QS_SrvMinDataRate 150 1200
#并限制请求标题和主体(注意,这还限制了上传和发帖请求):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
注意:如果你运行12.04之前的Ubuntu版本,改而使用下面这个命令:
$ sudo apt-get-y install libapache2-mod-antiloris
检查antiloris.conf中的配置
$ sudo nano/etc/apache2/mods-available/antiloris.conf
#每个IP地址处于READ状态的最大并行连接数量
IPReadLimit 5
阻止DNS注入攻击
Spamhaus这个模块使用域名系统黑名单(DNSBL),目的是为了阻止通过Web表单实现的垃圾邮件转发,防止URL注入攻击,阻止来自机器人程序的http DDoS攻击,通常保护服务器,远离已知的恶意IP地址。
$ sudo apt-get-y install libapache2-mod-spamhaus
$ sudo touch/etc/spamhaus.wl Append the config to apache2.conf
$ sudo nano/etc/apache2/apache2.conf
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList/etc/spamhaus.wl
MS_CacheSize 256
重启Apache装入新模块
$ sudo service apache2 restart
现在Web服务器已安装完毕,并在正常运行。将Web浏览器指向你的域,即可看到证明你一切正常的默认消息。作为最后的检查机制,运行下面这个命令,看看你的服务器有没有任何错误信息。要是有错误信息,你需要上谷歌搜索一下,立马解决这些错误。
$ sudo tail-200/var/log/syslog
