debian文件服务器搭建

A. 如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

在centos5上，有更简单的一键安装包：下载pptpd.sh，然后运行

sh pptpd.sh
安装完成后会提示vpn用户名和密码。
VPN用户管理：
直接编辑/etc/ppp/chap-secrets文件，按照相同格式添加用户名和密码即可。

B. 如何在debian系统下搭建一个自己的邮件服务器

你可以去服务器厂商（比如正睿服务器）的网上搜索一些相关搭建的文档参考一下，上次我做2008R2的系统就是去上面看的，是截图和文字说明很清楚。你可以去查查，如果没有在线咨询一下发个电子版什么的，应该也能清楚。

C. 如何安装Debian 9最小服务器

1、安装debian系统后，使用"apt-get update"命令，使安装源生效。
2、安装"apt-spy“。
命令："apt-get install apt-spy"
3、选择'y'，确认安装。
4、安装完成后，运行命令"apt-spy -d stable -a asia -t 5"。
其中-d选项指定发行版本，可选项为"stable、testing、unstable”。unstable为非稳定版，stable为稳定版，建议选择stable。
-a选项指定debian安装源服务器的区域，如asia、Europe、North-America。asia为亚洲，建议选择此项。
-t为超时阈值。设置较小的值可以忽略较慢的服务器。为了选择较小的服务器，可以选择一个比较小的值。
5、命令完成后，apt-spy自动创建/etc/apt/sources.list.d文件夹，并在该文件夹里面创建apt-spy.list文件。
6、备份/etc/apt/sources.list文件。
命令:cp /etc/apt/sources.list /etc/apt/sources.list.bak
7、使用“apt-spy.list"文件里的内容覆盖sources.list文件中。
8、内容示例如下。可以通过添加contrib和non-free的方式增加软件源的范围。
9、使用"apt-get update"命令更新软件源。
10、至此，更新源设置完成。

D. 如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

首先解释一个问题：在 iPhone 的 VPN 设置接口里（Settings >> General >> Network >> VPN），你可以看到三个标签：L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 VPN 方式叫“L2TP / IPSec”，这两者究竟是什么关系？

这三个标签确实令人混淆，准确的写法应该是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大，且大家较为熟悉，暂且不提，L2TP 和 IPSec 的区别如下。

L2TP：一个“包装”协议，本身并不提供加密和验证的功能。

IPSec：在 IP 数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

本来，只用 IPSec 就可以实现 VPN，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec，在两者的图形接口上也只能设置这个。L2TP / IPSec 是业界标准，微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓“Road Warrior”的设置，即用变动的客户端连固定的服务器。

Cisco 的 VPN 用的也是 IPSec 加密，但那是一套不同于 L2TP 的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco 自家的 VPN 客户端连接。iPhone / iPad 的 VPN 设置接口中的 IPSec 标签里有 Cisco 的标识，就是这个原因。

以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec VPN 的步骤，一共十四步。你需要有服务器的 root 权限（所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了），也需要一些基本的 Linux 知识。不然的话，我们还是推荐您找一位比较熟技术的朋友帮忙。

一、安装 IPSec。如上所述，IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

用以下命令安装 openswan:

sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsec.conf，改成这样：

version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=YOUR.SERVER.IP.ADDRESS
leftprotoport=17/1701
right=%any
rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsec.secrets，改成这样：

YOUR.SERVER.IP.ADDRESS %any: PSK "YourSharedSecret"（别忘了把“YOUR.SERVER.IP.ADDRESS”这部分换成你的服务器的 IP 地址，把“YourSharedSecret”部分换成随便一个字串，例如你喜欢的一句话，等等。）

四、运行以下命令：

for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done五、检查一下 IPSec 能否正常工作：

sudo ipsec verify如果在结果中看到“Opportunistic Encryption Support”被禁用了，没关系，其他项 OK 即可。

六、重启 openswan:

sudo /etc/init.d/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd，它和 openswan 是同一帮人写的。

运行以下命令：

sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpd.conf，改成这样：

[global]
ipsec saref = yes

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合，也不可与网络上的其他 IP 地址冲突。

九、安装 ppp。这是用来管理 VPN 用户的。

sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 options.xl2tpd 这个文件，没有的话就建一个，文件内容如下：

require-mschap-v2
ms-dns 208.67.222.222
ms-dns 208.67.220.220
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器（例如谷歌的公共 DNS），请自行更换。

十一、现在可以添加一个 VPN 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

# user server password ip
test l2tpd testpassword *如果你之前设置过 PPTP VPN，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword * 这样加到后面即可。

十二、重启 xl2tpd:

sudo /etc/init.d/xl2tpd restart十三、设置 iptables 的数据包转发：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因，openswan 在服务器重启后无法正常自动，所以我们可以在 /etc/rc.local 文件里写入如下语句：

iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart到这里，设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在“Secret”中填入你在上述第三步里填的 YourSharedSecret。

如果连接成功，上网也没问题的话，恭喜你，大功告成。如果连不上，恐怕还得多做一步。

Ubuntu 9.10 自带的 openswan 版本是 2.6.22, Debian Lenny 带的版本是 2.4.12。这两个版本的 openswan 都有问题。我们的测试结果表明，2.6.24 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话，请考虑从源码编译 openswan 2.6.24

E. 如何在Debian Linux上安装配置ISC DHCP服务器

工具/原料

一台Linux主机或虚拟机（这里CentOS 6.5为例）
编译源码或软件源方式安装dhcp软件
方法/步骤

首先我们先了解下 DHCP，DHCP采用客户端/服务器的工作模式，由客户端向服务器发出获取IP地址的请求，服务器接收到请求后会把网络配置信息发送给客户端，实现IP地址的动态分配。DHCP提供三种地址分配策略：
1：手工分配 在服务器上指定为哪些主机分配固定的IP，也就是说这些主机永远获取的都是给它们设置好的IP。
2：自动分配 地址分配给客户机后，这个地址就永远给了客户机。这样客户机不在线也不会回收IP，会造成浪费，不同于手工分配。
3：动态分配 也是用的最多的策略了，它将IP地址分配出去后会有个租约，等租约时间到了，就会回收IP，如果主机还在线，在租约时间快到时，会向DHCP服务器发送续约请求，以便继续使用。
以上手工分配适合于打印机、其他提供web服务、ftp服务的主机等，因为它们需要一个固定的IP地址。动态分配能有效解决IP地址不够用的问题，租约到期后被回收的IP地址会重新给新请求的客户端使用。
DHCP的安装可以通过从软件源直接安装或自己编译安装。编译安装的话下载地址在：https://www.isc.org/downloads/
这里选择编译安装DHCP，下图为DHCP源码包的官方下载页面，我们选择最新版dhcp-4.3.1.tar.gz

首先我们先解压源码包
# tar xf dhcp-4.3.1.tar.gz
指定安装目录和配置文件目录
# cd dhcp-4.3.1
# ./configure --prefix=/usr/local/dhcp --sysconfdir=/etc
配置过程非常快，等配置完了可以echo $?确定下是否成功
接着就可以编译安装了，请耐心等待编译完成
# make && make install
如果采用软件源安装的话直接 " yum install dhcp "即可，不过版本会比较旧

接着将配置文件复制过去，在安装目录的 server 目录中
# cp server/dhcpd.conf.example /etc/dhcpd.conf
生产地址池文件，用于记录已经分配出去的IP地址
# touch /var/db/dhcpd.leases
接着修改配置文件，在最后添加提供服务的网段
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
}
我这里为10.0.0.0网段提供服务，range定义了地址池，记得修改成适合你们的，然后就可以试着启动服务了。
# /usr/local/dhcp/sbin/dhcpd
如果是以软件源方式安装的dhcp软件，直接 service dhcpd start
我们可以用" killall dhcpd "来结束服务

服务启动后可以用 " ps aux | grep dhcpd "查看下启动的进程，DHCP服务监听 udp 67 端口，客户端以广播的方式请求IP地址，整个局域网内，没开启DHCP服务的主机就忽视掉了请求，DHCP服务器就会响应这个请求，如果同时有多个DHCP服务器在工作肯定看哪个响应的快喽！
接下来再启动台主机试试效果把，我又启动了一台XP，让其自动获取IP地址，看 是不是获取了地址池中第一个IP "10.0.0.50"呢

接下来看下dhcpd的配置文件 " /etc/dhcpd.conf "
dhcpd.conf中由声明、注释、参数、选项四大类语句构成
注释就是"#"开头的注释信息。声明定义网络布局，刚才的subnet就属于声明。参数是定义dhcpd服务的各种网络参数，如租约的时间、主机名等。选项是以option作为开始，为客户机指定主机名、广播地址、子网掩码等
声明：
include "filename" 将指定的文件内容添加到配置文件中
shared-network 名称 {
【参数】
【声明】
} 指定共享相同网络的子网
subnet 网段 netmask 子网掩码 {
【参数】
【声明】
} 定义哪些IP分配给客户，一般与range结合使用
range 起始地址 终止地址； 定义IP范围，终止地址可以没有
host 主机名 {
【参数】
【声明】
} 定义保留地址
group {
【参数】
【声明】
} 为一组参数提供声明
参数：
ddns-hostname 名称 指定使用的主机名，不设置默认当前主机名
ddns-domainname 名称 指定域名
ddns-update-style 参数 指定DNS的更新模式 { ad-hoc | interim | none }
default-lease-time 时间 默认租约时间（单位秒）
max-lease-time 时间 最大租约时间
server-name 名称 告诉客户端服务器的名称
hardware 接口类型 硬件地址 指定客户机硬件接口类型和mac地址
fixed-address IP地址 【，IP地址】 为客户端提供一个或多个IP地址，该参数只能出现在host声明中
选项： 前面需加option
broadcast-address 广播地址 指定客户端广播地址
domain-name 域名 指定客户端域名
domain-name-servers 地址 指定客户端的DNS服务器
host-name 主机名 指定客户端主机名
ntp-server 地址 指定时间服务器地址
routers 地址 指定默认网关IP
subnet-mask 子网掩码 指定客户端子网掩码
比如我们为10.0.0.0网段提供服务，DNS服务器为8.8.8.8，网关为10.0.0.254，子网掩码为255.0.0.0，默认租约时间6小时.
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
option subnet-mask 255.0.0.0;
option routers 10.0.0.254;
option domain-name-servers 8.8.8.8;
default-lease-time 21600;
}
看看是不是网关和DNS也被自动获取了呢。注意都要以分号结束哦

现在再试试为其配置指定的IP地址，我们先把要指定主机的网卡mac地址记下来，然后给他配置10.10.10.10这个IP
subnet 10.0.0.0 netmask 255.0.0.0
{
range 10.0.0.50 10.0.0.100;
option subnet-mask 255.0.0.0;
option routers 10.0.0.254;
option domain-name-servers 8.8.8.8;
server-name mydhcp;
default-lease-time 21600;
host winXP {
hardware ethernet 00:0C:29:6E:4B:A1;
fixed-address 10.10.10.10;
}
}
这回使用了 ipconfig -all 显示的更详细了，这里连服务器的地址也列出来了，也可以使用这个参数查看网卡的mac地址

11
演示用的是Windows主机，如果是Linux主机需要修改网卡的配置文件，设置"BOOTPROTO=dhcp"，然后可以通过 dhclient eth0 来给eth0这块网卡获取IP地址。

F. Debian怎样安装并配置vsftpd服务器

vsftpd的配置在RedHatLinux9.0里的vsftpd共有3个配置文件，它们分别是：vsftpd.ftpusers：位于/etc目录下。它指定了哪些用户账户不能访问FTP服务器，例如root等。vsftpd.user_list：位于/etc目录下。该文件里的用户账户在默认情况下也不能访问FTP服务器，仅当vsftpd.conf配置文件里启用userlist_enable=NO选项时才允许访问。vsftpd.conf：位于/etc/vsftpd目录下。它是一个文本文件，我们可以用Kate、Vi等文本编辑工具对它进行修改，以此来自定义用户登录控制、用户权限控制、超时设置、服务器功能选项、服务器性能选项、服务器响应消息等FTP服务器的配置。（1）用户登录控制anonymous_enable=YES，允许匿名用户登录。no_anon_password=YES，匿名用户登录时不需要输入密码。local_enable=YES，允许本地用户登录。deny_email_enable=YES，可以创建一个文件保存某些匿名电子邮件的黑名单，以防止这些人使用Dos攻击。banned_email_file=/etc/vsftpd.banned_emails，当启用deny_email_enable功能时，所需的电子邮件黑名单保存路径（默认为/etc/vsftpd.banned_emails）。（2）用户权限控制write_enable=YES，开启全局上传权限。local_umask=022，本地用户的上传文件的umask设为022（系统默认是077，一般都可以改为022）。anon_upload_enable=YES，允许匿名用户具有上传权限，很明显，必须启用write_enable=YES，才可以使用此项。同时我们还必须建立一个允许ftp用户可以读写的目录（前面说过，ftp是匿名用户的映射用户账号）。anon_mkdir_write_enable=YES，允许匿名用户有创建目录的权利。chown_uploads=YES，启用此项，匿名上传文件的属主用户将改为别的用户账户，注意，这里建议不要指定root账号为匿名上传文件的属主用户！chown_username=whoever，当启用chown_uploads=YES时，所指定的属主用户账号，此处的whoever自然要用合适的用户账号来代替。chroot_list_enable=YES，可以用一个列表限定哪些本地用户只能在自己目录下活动，如果chroot_local_user=YES，那么这个列表里指定的用户是不受限制的。不要选中chroot_list_file=/etc/vsftpd.chroot_list，如果chroot_local_user=YES，则指定该列表（chroot_local_user）的保存路径（默认是/etc/vsftpd.chroot_list）。nopriv_user=ftpsecure，指定一个安全用户账号，让FTP服务器用作完全隔离和没有特权的独立用户。这是vsftpd系统推荐选项。async_abor_enable=YES，强烈建议不要启用该选项，否则将可能导致出错！ascii_upload_enable=YES；ascii_download_enable=YES，默认情况下服务器会假装接受ASCⅡ模式请求但实际上是忽略这样的请求，启用上述的两个选项可以让服务器真正实现ASCⅡ模式的传输。注意：启用ascii_download_enable选项会让恶意远程用户们在ASCⅡ模式下用SIZE/big/file这样的指令大量消耗FTP服务器的I/O资源。这些ASCⅡ模式的设置选项分成上传和下载两个，这样我们就可以允许ASCⅡ模式的上传（可以防止上传脚本等恶意文件而导致崩溃），而不会遭受拒绝服务攻击的危险。（3）用户连接和超时选项idle_session_timeout=600，可以设定默认的空闲超时时间，用户超过这段时间不动作将被服务器踢出。data_connection_timeout=120，设定默认的数据连接超时时间。（4）服务器日志和欢迎信息dirmessage_enable=YES，允许为目录配置显示信息，显示每个目录下面的message_file文件的内容。ftpd_banner=WelcometoblahFTPservice，可以自定义FTP用户登录到服务器所看到的欢迎信息。xferlog_enable=YES，启用记录上传/下载活动日志功能。xferlog_file=/var/log/vsftpd.log，可以自定义日志文件的保存路径和文件名，默认是/var/log/vsftpd.log

G. 如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

Ubuntu
/
Debian:自己把点换成
.
1
2
3
wget
mirror.zeddicus点com/auto-l2tp/1.2/ubuntu/l2tp.sh
chmod
+x
l2tp.sh
./l2tp.sh
此时需要输入IP段与PSK，值得注意的是，如果希望L2TP的IP段是
10.0.0.0
的话，则在脚本的IP-RANGE中输入
“10.0.0″。PSK
是
l2tp
client
共同使用的密匙，同样是必填的。
输入了IP段和PSK之后，程序会显示你的VPS当前的IP（IPV4）、L2TP的本地IP、分配给客户端的IP段以及你所设置的PSK，请确认无误后，按任意键，程序便会开始自动配置。
安装完毕后会运行
ipsec
verify，前面是OK，最后一个为DISABLED，证明配置成功！用于测试的用户名与密码分别是：test
/
test123，记录于
/etc/ppp/chap-secrets
文件当中。