服务器 频道

服务器托管一般性设置<1>

  【IT168 服务器学院】本文讲述的是针对BSD系统作为生产系统托管到IDC中时进行的一般性安全、性能方面的设置。希望对那些喜欢使用BSD的朋友有所帮助。限于篇幅的原因,文中没有就具体问题展开的太多,有需要更深了解相关内容的朋友请自行查找相关的资料。限于本人知识的局限错误之处在所难免,希望大家批评指正。
  
  文档目录:
  
  1. 硬件平台选择
  
  2. 系统与版本选择
  
  3. 软件版本选择
  
  4. 操作系统性能优化
  
  5. 软件性能与安全设置
  
  6. 操作系统安全设置
  
  7. PF防火墙设置
  
  8. 服务器远程管理
  
  9. 服务器负载均衡
  
  10.结束语
 
  
  1. 硬件平台的选择
  
  BSD操作系统发展到现在已经可以支持多种硬件平台。其中是NETBSD在这方面做的尤其引人瞩目。从硬件架构上考虑,作为一般使用者联系性价比一般推荐使用X86构架的硬件的平台安装BSD。在X86构架硬件上BSD系列操作系统都有不俗的性能表现,而且价格能被大家认同。经济上比较宽松的朋友购买品牌服务器应是上策。
  对于预算比较少的朋友可以考虑一下DIY服务器。DIY服务器首要采用质量上乘的服务器机箱,良好的散热设计、充沛的电源供给是保证DIY服务器成功的关键。其次在大多数时候有必要采用服务器专用主板来搭建硬件系统。细心的朋友会发现服务器专用主板上CUP、内存条的排列是和PC主板不一样的,这是一种促进散热的设计。另外服务器主板上大量采用耐高温和长寿命的固态电容,这样的主板长时间连续工作不会出现电容的爆裂和爆浆现象从而造成服务器停机。目前质量有保障的服务器专用主板生产商有泰安和超微。大家在购买时可以留心一下。
  网卡也是服务器的一个核心部件,没有它服务器提供服务器也就无从谈起了。在100M接入的情况下1000M网卡比100M网卡可以提供更好的网络性能,但价格也高出不少。这里推荐使用INTEL或3COM公司的产品,这两家的产品都被广大的使用者证明性能和稳定性是一流的,只是大家注意现在市场上假货比较多。
  其他硬件如存储系统这里就不多说了,根据自己的预算酌情购买便是。
  

  2. 系统与版本选择
  
  在BSD家族中有三个重要分支:FREEBSD、OPENBSD、NETBSD,三个分支各有见长。FREEBSD以性能出众见长,OPENBSD以系统安全见长,NETBSD以兼容硬件多见长。实际上随着时间的推移这三个系统的各项技术指标之间的差距正在减小,各自的相互借鉴加快了这种趋势。从目前使用的用户数量看:FREEBSD>OPENBSD>NETBSD。考虑到NETBSD的用户数量相对较少,在下面个章节中主要针对FREEBSD和OPENBSD两个BSD分支展开。
  具体到每个BSD分支推荐使用各自的稳定版本而不是当前版本,因为稳定版本是为生产服务的,当前版本只是一个技术过渡产品,很多系统BUG和系统安全漏洞都有待发现和修正。即使是使用稳定版本也会发现系统BUG和系统安全漏洞,只是比当前版本频率要低的多。通常我们新安装的版本并不是稳定版。我们要把它修正为一个稳定版本(stable)。到本文完成时FREEBSD的最新的稳定版本是6.0-stable,OPENBSD的稳定版本是3.8,NETBSD的稳定版本是3.0。下面简单列出BSD系统升级到稳定版本的步骤。

  2.1 FREEBSD-6.0更新到稳定版
  
  首先安装FreeBSD的系统源代码和Ports
  
  # mount -t cd9660 /dev/acd0 /mnt/
  # cd /mnt/6.0-RELEASE/ports
  # ./install.sh
  
  # cd /mnt/6.0-RELEASE/src
  # ./install.sh all
  
  更新FreeBSD的系统源代码以及Ports
  
  # cd /usr/share/examples/cvsup
  # vi standard-supfile
  *default host=cvsup4.FreeBSDChina.org
  *default release=cvs tag=RELENG_6
  
  # cvsup -g -L 2 /usr/share/examples/cvsup/standard-supfile
  # cvsup -g -L 2 /usr/share/examples/cvsup/ports-supfile
  
  编译生成新的系统二进制文件
  
  # cd /usr/src
  # make buildworld
  # make installworld
  # reboot
  
      现在,你的系统已经是最新的了。注意新的系统升级完成之后一些原先安装的软件最好重新安装,否则很容易引发一些意想不到的问题。
  
  2.2 OPENBSD-3.8系统更新
  
  # cd /home/pub
  # wget ftp://openbsd.csie.nctu.edu.tw/pub/OpenBSD/3.8/ports.tar.gz
  # wget ftp://openbsd.csie.nctu.edu.tw/pub/OpenBSD/3.8/src.tar.gz
  # wget ftp://openbsd.csie.nctu.edu.tw/pub/OpenBSD/3.8/sys.tar.gz
  
  # cd /usr
  # tar zxvf /home/pub/ports.tar.gz                        //安装ports
  # cd /usr/src
  # tar zxvf /home/pub/src.tar.gz                                //安装系统代码
  # tar zxvf /home/pub/sys.tar.gz                                //安装内核代码
  
  通过cvsup得到最新的代码。
  
  # pkg_add cvsup-16.1g-no_x11.tgz
  # vi cvsup-supfile
  ============+===========+==============
  # Defaults that apply to all the collections
  *default release=cvs
  *default delete use-rel-suffix
  *default umask=002
  *default host=openbsd.csie.nctu.edu.tw
  *default base=/usr
  *default prefix=/usr
  
  # If your network link is T1 or faster, comment out the following line.
  *default compress
  #OpenBSD-all
  OpenBSD-src
  OpenBSD-www
  OpenBSD-ports
  #OpenBSD-x11
  #OpenBSD-xf4
  ============+===========+==============
  
  执行cvsup
  
  # cvsup -g -L 2 cvsup-supfile
  
  编译生成新的二进制文件
  
  # cd /usr/src
  # rm -r /usr/obj/*
  # make obj && make build
  

  3. 软件版本选择
  
  我们在选择软件版本的时候常常陷入两难的境地,比较新的版本往往在性能上有所改进而且也许还加进了诱人的新功能。但新版本最致命的是你没办法知道它是否存在设计缺陷或安全方面的问题(因为没有足够长时间和足够多的人使用验证)。所以在把它用在生产环境之前需要非常慎重,即使你有勇气采用新发布的软件。从我个人来说不推荐使用版本比较新的尤其是新发布的软件版本。著名的WEB主机软件:APACHE做的就比较好,它有两个版本些列:稳定版本系列和新功能版本系列,这样的两条产品线方便了用户在两者中作出选择。总之用户在选择软件版本时要根据自己的实际情况,如果你部署的应用是非常关键的就一定要使用稳定成熟的版本,虽然这样的选择有时会带来一定程度上性能损失。

  在FREEBSD系统上,官方推荐使用PORTS方式安装需要的软件包。这个做的好处是一方面简化了用户安装软件的过程,另一方面也可以在一定程度上保证了软件运行时的稳定和安全性(ports系统中会包含已发现软件的补丁,同时为提高软件的运行效率专门定制了软件编译参数),同时卸载通过PORTS安装的软件包也很容易。经常同步升级你的PORTS树对于软件的正确安装也是非常重要的,如果你发现每个软件包不能通过PORTS安装或在编译过程中出错,你首先应该考虑到的是升级同步PORTS树,如果还是不行再考虑其他的因素。

  在OPENBSD系统上,我个人不推荐使用PORTS树来安装软件包,因为在每个OPENBSD的镜像站点上都有和PORTS中的软件相对应的二进制包。通过下载或远程安装这些编译好了的二进制包可以大大缩短软件的编译时间。无论新手还是老手,这种软件安装的方法无疑都是很合适的。OPENBSD的系统安全是一个完整的体系,这里面包含系统基本的二进制文件和用户后来安装的软件包。为了不破坏这个安全体系不推荐用户自行在系统上通过软件源码来编译安装软件,除非你要使用的软件找不到官方提供的现成的二进制安装包。
0
相关文章