debian文件伺服器搭建

A. 如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

在centos5上，有更簡單的一鍵安裝包：下載pptpd.sh，然後運行

sh pptpd.sh
安裝完成後會提示vpn用戶名和密碼。
VPN用戶管理：
直接編輯/etc/ppp/chap-secrets文件，按照相同格式添加用戶名和密碼即可。

B. 如何在debian系統下搭建一個自己的郵件伺服器

你可以去伺服器廠商（比如正睿伺服器）的網上搜索一些相關搭建的文檔參考一下，上次我做2008R2的系統就是去上面看的，是截圖和文字說明很清楚。你可以去查查，如果沒有在線咨詢一下發個電子版什麼的，應該也能清楚。

C. 如何安裝Debian 9最小伺服器

1、安裝debian系統後，使用"apt-get update"命令，使安裝源生效。
2、安裝"apt-spy「。
命令："apt-get install apt-spy"
3、選擇'y'，確認安裝。
4、安裝完成後，運行命令"apt-spy -d stable -a asia -t 5"。
其中-d選項指定發行版本，可選項為"stable、testing、unstable」。unstable為非穩定版，stable為穩定版，建議選擇stable。
-a選項指定debian安裝源伺服器的區域，如asia、Europe、North-America。asia為亞洲，建議選擇此項。
-t為超時閾值。設置較小的值可以忽略較慢的伺服器。為了選擇較小的伺服器，可以選擇一個比較小的值。
5、命令完成後，apt-spy自動創建/etc/apt/sources.list.d文件夾，並在該文件夾裡面創建apt-spy.list文件。
6、備份/etc/apt/sources.list文件。
命令:cp /etc/apt/sources.list /etc/apt/sources.list.bak
7、使用「apt-spy.list"文件里的內容覆蓋sources.list文件中。
8、內容示例如下。可以通過添加contrib和non-free的方式增加軟體源的范圍。
9、使用"apt-get update"命令更新軟體源。
10、至此，更新源設置完成。

D. 如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

首先解釋一個問題：在 iPhone 的 VPN 設置介面里（Settings >> General >> Network >> VPN），你可以看到三個標簽：L2TP, PPTP, IPSec。但上面我們又講本次介紹的 VPN 方式叫「L2TP / IPSec」，這兩者究竟是什麼關系？

這三個標簽確實令人混淆，准確的寫法應該是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外兩者關系不大，且大家較為熟悉，暫且不提，L2TP 和 IPSec 的區別如下。

L2TP：一個「包裝」協議，本身並不提供加密和驗證的功能。

IPSec：在 IP 數據包的層級提供加密和驗證功能，確保中間人無法解密或者偽造數據包。

本來，只用 IPSec 就可以實現 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推薦使用 L2TP over IPSec，在兩者的圖形介面上也只能設置這個。L2TP / IPSec 是業界標准，微軟也支持。而只用 IPSec 的常見於 Linux-to-Linux 的應用，比如將兩個位於不同地區的辦公室網路安全地連在一起。這多是固定 IP 路由器到固定 IP 路由器級別的連接，只需保證數據包不被中途截獲或者偽造就可以，故使用 L2TP 的意義不大。L2TP / IPSec 主要是實現所謂「Road Warrior」的設置，即用變動的客戶端連固定的伺服器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同於 L2TP 的私有包裝協議，用於提供用戶管理之類的功能，因此一般都需要用 Cisco 自家的 VPN 客戶端連接。iPhone / iPad 的 VPN 設置介面中的 IPSec 標簽里有 Cisco 的標識，就是這個原因。

以下是在 Ubuntu 和 Debian 主機上架設 L2TP / IPSec VPN 的步驟，一共十四步。你需要有伺服器的 root 許可權（所以 DreamHost, BlueHost, MediaTemple 這些服務供應商幫你把一切打點周到的主機就無緣了），也需要一些基本的 Linux 知識。不然的話，我們還是推薦您找一位比較熟技術的朋友幫忙。

一、安裝 IPSec。如上所述，IPSec 會對 IP 數據包進行加密和驗證。這意味著你的電腦 / 移動設備與伺服器之間傳輸的數據無法被解密、也不能被偽造。我推薦用 openswan 這個後台軟體包來跑 IPSec。

用以下命令安裝 openswan:

sudo aptitude install openswan二、用文字編輯器打開 /etc/ipsec.conf，改成這樣：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字編輯器打開 /etc/ipsec.secrets，改成這樣：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（別忘了把「YOUR.SERVER.IP.ADDRESS」這部分換成你的伺服器的 IP 地址，把「YourSharedSecret」部分換成隨便一個字串，例如你喜歡的一句話，等等。）

四、運行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、檢查一下 IPSec 能否正常工作：

sudo ipsec verify如果在結果中看到「Opportunistic Encryption Support」被禁用了，沒關系，其他項 OK 即可。

六、重啟 openswan:

sudo /etc/init.d/ipsec restart七、安裝 L2TP。常用的 L2TP 後台軟體包是 xl2tpd，它和 openswan 是同一幫人寫的。

運行以下命令：

sudo aptitude install xl2tpd八、用文字編輯器打開 /etc/xl2tpd/xl2tpd.conf，改成這樣：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes這里要注意的是 ip range 一項里的 IP 地址不能和你正在用的 IP 地址重合，也不可與網路上的其他 IP 地址沖突。

九、安裝 ppp。這是用來管理 VPN 用戶的。

sudo aptitude install ppp十、檢查一下 /etc/ppp 目錄里有沒有 options.xl2tpd 這個文件，沒有的話就建一個，文件內容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 兩行我填的是 OpenDNS。如果你想用其他的 DNS 伺服器（例如谷歌的公共 DNS），請自行更換。

十一、現在可以添加一個 VPN 用戶了。用文字編輯器打開 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前設置過 PPTP VPN，chap-secrets 文件里可能已經有了其他用戶的列表。你只要把 test l2tpd testpassword * 這樣加到後面即可。

十二、重啟 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、設置 iptables 的數據包轉發：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因為某種原因，openswan 在伺服器重啟後無法正常自動，所以我們可以在 /etc/rc.local 文件里寫入如下語句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到這里，設置工作已經基本完成。你可以用 iPhone 或 iPad 試著連一下。記得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

如果連接成功，上網也沒問題的話，恭喜你，大功告成。如果連不上，恐怕還得多做一步。

Ubuntu 9.10 自帶的 openswan 版本是 2.6.22, Debian Lenny 帶的版本是 2.4.12。這兩個版本的 openswan 都有問題。我們的測試結果表明，2.6.24 版的 openswan 可以在上述兩版的 Linux 操作系統下正常工作。所以如果做完以上十四步還是連不上的話，請考慮從源碼編譯 openswan 2.6.24

E. 如何在Debian Linux上安裝配置ISC DHCP伺服器

工具/原料

一台Linux主機或虛擬機（這里CentOS 6.5為例）
編譯源碼或軟體源方式安裝dhcp軟體
方法/步驟

首先我們先了解下 DHCP，DHCP採用客戶端/伺服器的工作模式，由客戶端向伺服器發出獲取IP地址的請求，伺服器接收到請求後會把網路配置信息發送給客戶端，實現IP地址的動態分配。DHCP提供三種地址分配策略：
1：手工分配 在伺服器上指定為哪些主機分配固定的IP，也就是說這些主機永遠獲取的都是給它們設置好的IP。
2：自動分配 地址分配給客戶機後，這個地址就永遠給了客戶機。這樣客戶機不在線也不會回收IP，會造成浪費，不同於手工分配。
3：動態分配 也是用的最多的策略了，它將IP地址分配出去後會有個租約，等租約時間到了，就會回收IP，如果主機還在線，在租約時間快到時，會向DHCP伺服器發送續約請求，以便繼續使用。
以上手工分配適合於列印機、其他提供web服務、ftp服務的主機等，因為它們需要一個固定的IP地址。動態分配能有效解決IP地址不夠用的問題，租約到期後被回收的IP地址會重新給新請求的客戶端使用。
DHCP的安裝可以通過從軟體源直接安裝或自己編譯安裝。編譯安裝的話下載地址在：https://www.isc.org/downloads/
這里選擇編譯安裝DHCP，下圖為DHCP源碼包的官方下載頁面，我們選擇最新版dhcp-4.3.1.tar.gz

首先我們先解壓源碼包
# tar xf dhcp-4.3.1.tar.gz
指定安裝目錄和配置文件目錄
# cd dhcp-4.3.1
# ./configure --prefix=/usr/local/dhcp --sysconfdir=/etc
配置過程非常快，等配置完了可以echo $?確定下是否成功
接著就可以編譯安裝了，請耐心等待編譯完成
# make && make install
如果採用軟體源安裝的話直接 " yum install dhcp "即可，不過版本會比較舊

接著將配置文件復制過去，在安裝目錄的 server 目錄中
# cp server/dhcpd.conf.example /etc/dhcpd.conf
生產地址池文件，用於記錄已經分配出去的IP地址
# touch /var/db/dhcpd.leases
接著修改配置文件，在最後添加提供服務的網段
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
}
我這里為10.0.0.0網段提供服務，range定義了地址池，記得修改成適合你們的，然後就可以試著啟動服務了。
# /usr/local/dhcp/sbin/dhcpd
如果是以軟體源方式安裝的dhcp軟體，直接 service dhcpd start
我們可以用" killall dhcpd "來結束服務

服務啟動後可以用 " ps aux | grep dhcpd "查看下啟動的進程，DHCP服務監聽 udp 67 埠，客戶端以廣播的方式請求IP地址，整個區域網內，沒開啟DHCP服務的主機就忽視掉了請求，DHCP伺服器就會響應這個請求，如果同時有多個DHCP伺服器在工作肯定看哪個響應的快嘍！
接下來再啟動台主機試試效果把，我又啟動了一台XP，讓其自動獲取IP地址，看 是不是獲取了地址池中第一個IP "10.0.0.50"呢

接下來看下dhcpd的配置文件 " /etc/dhcpd.conf "
dhcpd.conf中由聲明、注釋、參數、選項四大類語句構成
注釋就是"#"開頭的注釋信息。聲明定義網路布局，剛才的subnet就屬於聲明。參數是定義dhcpd服務的各種網路參數，如租約的時間、主機名等。選項是以option作為開始，為客戶機指定主機名、廣播地址、子網掩碼等
聲明：
include "filename" 將指定的文件內容添加到配置文件中
shared-network 名稱 {
【參數】
【聲明】
} 指定共享相同網路的子網
subnet 網段 netmask 子網掩碼 {
【參數】
【聲明】
} 定義哪些IP分配給客戶，一般與range結合使用
range 起始地址 終止地址； 定義IP范圍，終止地址可以沒有
host 主機名 {
【參數】
【聲明】
} 定義保留地址
group {
【參數】
【聲明】
} 為一組參數提供聲明
參數：
ddns-hostname 名稱 指定使用的主機名，不設置默認當前主機名
ddns-domainname 名稱 指定域名
ddns-update-style 參數 指定DNS的更新模式 { ad-hoc | interim | none }
default-lease-time 時間 默認租約時間（單位秒）
max-lease-time 時間 最大租約時間
server-name 名稱 告訴客戶端伺服器的名稱
hardware 介面類型 硬體地址 指定客戶機硬體介面類型和mac地址
fixed-address IP地址 【，IP地址】 為客戶端提供一個或多個IP地址，該參數只能出現在host聲明中
選項： 前面需加option
broadcast-address 廣播地址 指定客戶端廣播地址
domain-name 域名 指定客戶端域名
domain-name-servers 地址 指定客戶端的DNS伺服器
host-name 主機名 指定客戶端主機名
ntp-server 地址 指定時間伺服器地址
routers 地址 指定默認網關IP
subnet-mask 子網掩碼 指定客戶端子網掩碼
比如我們為10.0.0.0網段提供服務，DNS伺服器為8.8.8.8，網關為10.0.0.254，子網掩碼為255.0.0.0，默認租約時間6小時.
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
option subnet-mask 255.0.0.0;
option routers 10.0.0.254;
option domain-name-servers 8.8.8.8;
default-lease-time 21600;
}
看看是不是網關和DNS也被自動獲取了呢。注意都要以分號結束哦

現在再試試為其配置指定的IP地址，我們先把要指定主機的網卡mac地址記下來，然後給他配置10.10.10.10這個IP
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
option subnet-mask 255.0.0.0;
option routers 10.0.0.254;
option domain-name-servers 8.8.8.8;
server-name mydhcp;
default-lease-time 21600;
host winXP {
hardware ethernet 00:0C:29:6E:4B:A1;
fixed-address 10.10.10.10;
}
}
這回使用了 ipconfig -all 顯示的更詳細了，這里連伺服器的地址也列出來了，也可以使用這個參數查看網卡的mac地址

11
演示用的是Windows主機，如果是Linux主機需要修改網卡的配置文件，設置"BOOTPROTO=dhcp"，然後可以通過 dhclient eth0 來給eth0這塊網卡獲取IP地址。

F. Debian怎樣安裝並配置vsftpd伺服器

vsftpd的配置在RedHatLinux9.0里的vsftpd共有3個配置文件，它們分別是：vsftpd.ftpusers：位於/etc目錄下。它指定了哪些用戶賬戶不能訪問FTP伺服器，例如root等。vsftpd.user_list：位於/etc目錄下。該文件里的用戶賬戶在默認情況下也不能訪問FTP伺服器，僅當vsftpd.conf配置文件里啟用userlist_enable=NO選項時才允許訪問。vsftpd.conf：位於/etc/vsftpd目錄下。它是一個文本文件，我們可以用Kate、Vi等文本編輯工具對它進行修改，以此來自定義用戶登錄控制、用戶許可權控制、超時設置、伺服器功能選項、伺服器性能選項、伺服器響應消息等FTP伺服器的配置。（1）用戶登錄控制anonymous_enable=YES，允許匿名用戶登錄。no_anon_password=YES，匿名用戶登錄時不需要輸入密碼。local_enable=YES，允許本地用戶登錄。deny_email_enable=YES，可以創建一個文件保存某些匿名電子郵件的黑名單，以防止這些人使用Dos攻擊。banned_email_file=/etc/vsftpd.banned_emails，當啟用deny_email_enable功能時，所需的電子郵件黑名單保存路徑（默認為/etc/vsftpd.banned_emails）。（2）用戶許可權控制write_enable=YES，開啟全局上傳許可權。local_umask=022，本地用戶的上傳文件的umask設為022（系統默認是077，一般都可以改為022）。anon_upload_enable=YES，允許匿名用戶具有上傳許可權，很明顯，必須啟用write_enable=YES，才可以使用此項。同時我們還必須建立一個允許ftp用戶可以讀寫的目錄（前面說過，ftp是匿名用戶的映射用戶賬號）。anon_mkdir_write_enable=YES，允許匿名用戶有創建目錄的權利。chown_uploads=YES，啟用此項，匿名上傳文件的屬主用戶將改為別的用戶賬戶，注意，這里建議不要指定root賬號為匿名上傳文件的屬主用戶！chown_username=whoever，當啟用chown_uploads=YES時，所指定的屬主用戶賬號，此處的whoever自然要用合適的用戶賬號來代替。chroot_list_enable=YES，可以用一個列表限定哪些本地用戶只能在自己目錄下活動，如果chroot_local_user=YES，那麼這個列表裡指定的用戶是不受限制的。不要選中chroot_list_file=/etc/vsftpd.chroot_list，如果chroot_local_user=YES，則指定該列表（chroot_local_user）的保存路徑（默認是/etc/vsftpd.chroot_list）。nopriv_user=ftpsecure，指定一個安全用戶賬號，讓FTP伺服器用作完全隔離和沒有特權的獨立用戶。這是vsftpd系統推薦選項。async_abor_enable=YES，強烈建議不要啟用該選項，否則將可能導致出錯！ascii_upload_enable=YES；ascii_download_enable=YES，默認情況下伺服器會假裝接受ASCⅡ模式請求但實際上是忽略這樣的請求，啟用上述的兩個選項可以讓伺服器真正實現ASCⅡ模式的傳輸。注意：啟用ascii_download_enable選項會讓惡意遠程用戶們在ASCⅡ模式下用SIZE/big/file這樣的指令大量消耗FTP伺服器的I/O資源。這些ASCⅡ模式的設置選項分成上傳和下載兩個，這樣我們就可以允許ASCⅡ模式的上傳（可以防止上傳腳本等惡意文件而導致崩潰），而不會遭受拒絕服務攻擊的危險。（3）用戶連接和超時選項idle_session_timeout=600，可以設定默認的空閑超時時間，用戶超過這段時間不動作將被伺服器踢出。data_connection_timeout=120，設定默認的數據連接超時時間。（4）伺服器日誌和歡迎信息dirmessage_enable=YES，允許為目錄配置顯示信息，顯示每個目錄下面的message_file文件的內容。ftpd_banner=WelcometoblahFTPservice，可以自定義FTP用戶登錄到伺服器所看到的歡迎信息。xferlog_enable=YES，啟用記錄上傳/下載活動日誌功能。xferlog_file=/var/log/vsftpd.log，可以自定義日誌文件的保存路徑和文件名，默認是/var/log/vsftpd.log

G. 如何在 Debian / Ubuntu 伺服器上架設 L2TP / IPSec VPN

Ubuntu
/
Debian:自己把點換成
.
1
2
3
wget
mirror.zeddicus點com/auto-l2tp/1.2/ubuntu/l2tp.sh
chmod
+x
l2tp.sh
./l2tp.sh
此時需要輸入IP段與PSK，值得注意的是，如果希望L2TP的IP段是
10.0.0.0
的話，則在腳本的IP-RANGE中輸入
「10.0.0″。PSK
是
l2tp
client
共同使用的密匙，同樣是必填的。
輸入了IP段和PSK之後，程序會顯示你的VPS當前的IP（IPV4）、L2TP的本地IP、分配給客戶端的IP段以及你所設置的PSK，請確認無誤後，按任意鍵，程序便會開始自動配置。
安裝完畢後會運行
ipsec
verify，前面是OK，最後一個為DISABLED，證明配置成功！用於測試的用戶名與密碼分別是：test
/
test123，記錄於
/etc/ppp/chap-secrets
文件當中。