linux在安恒公司的应用 ---安恒网管员手记
2006-01-16    刘世伟   
打印自: 安恒公司
地址: HTTP://day-zero.anheng.com.cn/news/article.php?articleid=811
linux在安恒公司的应用 ---安恒网管员手记

本文是安恒公司网络管理员在新闻组中讨论有关Linux在企业网络管理中的应用实践,这个讨论被多方转载和整理,发表在安恒公司的网管员手记中。近期安恒公司网络维护学院将开始一门《Linux在中小企业网络管理应用案例》课程,欢迎大家对课程提出建设意见。


今天在QQ上跟朋友聊了很多,整理一下,发上来。

2006-01-08 16:51:45 刘世伟
域服务器上面有每天一次的完整备份,保留了最近半年每一天的文档,
我从域服务器上很容易就找回来某个文档在某一天的状态。

2006-01-08 16:53:24 梅州客家人
这个怎么做的?

2006-01-08 16:53:33 刘世伟
linux下的pdumpfs备份软件。

2006-01-08 16:53:48 梅州客家人
在win下有没有办法?

2006-01-08 16:54:02 刘世伟
几乎没有可能,win下需要大量的磁盘。linux可以把多个相同的文件做硬联接。节省存储空间

2006-01-08 16:54:21 刘世伟
备份目录,按年,月,日自动开3级目录,每个备份目录底部是整个的一个需要备份的目录树。
home,etc,var,usr....

2006-01-08 16:55:42 刘世伟
这样,我们的整个需要备份的目录树体积是300G, ??但每天变化的文件大约200M.
备份时,我们还忽略掉大于50M的文件,以及avi,mp3,iso,rm,其实,我们用了一个160G的硬盘,可以做60天的每日完整备份。

2006-01-08 16:54:20 eastos
linux做域服务器?

2006-01-08 16:56:31 刘世伟
是的,我们公司用linux做域服务器2年多了。
硬件用的是amd64,用普通的4块ide硬盘做了一个软件的raid5做存储

2006-01-08 16:55:03 eastos
你是指用Linux代替DC?

2006-01-08 16:57:02 刘世伟
BDC PDC都可以代替,

2006-01-08 16:57:38 刘世伟
域的帐号的管理和漫游挺方便。
同事们的帐号只需要在域服务器上面开一次,
同事们可以随便使用任何一台计算机登录,登录后就是自己的桌面和文档,权限。

2006-01-08 16:56:28 eastos
你用的哪个Linux的发行版

2006-01-08 16:58:39 刘世伟
都可以。没有区别,我用debian 3.1。

2006-01-08 16:59:51 刘世伟
linux做的域服务器,跟一般的域服务器的灵活的地方:
1.域的设置是文本文件,容易移植到别的机器。
只需要把/etc/samba目录复制到新的机器, 一台新的pdc就部署好了。
2.针对不同的用户和组,可以有不同的域服务器设置
3.同一个共享名, 对不同的用户,可以指向不同的目录。
4.目录的联接功能很方便,一些目录可以联接到其它的目录下面,从win看过来,跟普通的目录没有区别。
这样可以给几个人建立类似于隧道的公用目录。

2006-01-08 17:02:52 eastos
你是说\\server\share对A用户可以指向/usr/a, 对B用户可以指向/usr/b ?

2006-01-08 17:03:13 刘世伟
??对,你说的对。
比如,同样是mydocs的共享名,可以指向 /home/$g/$U
这样,财务组的人a上来,就是 /home/caiwuzu/a

2006-01-08 17:03:14 eastos
像是组策略之类的怎么处理呢

2006-01-08 17:04:39 刘世伟
组策略有,但是我没有用到它,也就没有研究它。

2006-01-08 17:03:33 eastos
good, 真的是好东西
还有个问题, 虚拟的PDC和Windows的DC互操作性怎样?

2006-01-08 17:04:28 刘世伟
BDC可以通过PDC进行用户身份认证
然后BDC可以自动在所在的机器上面建立这个linux下的系统帐号

2006-01-08 17:05:14 eastos
就是说可以同步用户帐号

2006-01-08 17:05:33 刘世伟
在windows下的帐号,在linux下都有一个对应帐号,代表它在linux下的文件的权限。
windows的用户,可以在自己的windows的修改密码界面上面修改linux下用户的密码。
这样。我在linux下,还开放了ftp,跟用户的域帐号以及密码是统一的。

2006-01-08 17:06:50 eastos
哪这样搞就不用买MS的Windows Server了

2006-01-08 17:07:03 刘世伟
当然了。
我没发现有什么需要还要用windows的server

我们的打印机也是在linux的域上面集中的设置以及进行权限划分。
其实在一个小公司,用linux做一个域服务器,挺好。
我们的域服务器,还是一个无盘启动服务器,支持pxe和bootp启动模式,启动到dos后,可以访问域服务器上面的共享资源, 对每台win机器的c:都在服务器上面有一个ghost镜像。 还有一个通用的ghost映像,用于部署新的机器。
我们的网管,只要会ghost以及会把机器加入域,就行了。

linux的域服务器+无盘启动+ghost 然后linux的域服务器,可以用于文件存放,用软raid5保证数据的安全性.
有人对软raid5有成见,觉的cpu占用高,实际上不是这样。raid使用的是 奇偶算法, 占用cpu处理能力很少。几乎可以忽略。

2006-01-08 17:14:32 eastos
你们的客户端一般是什么系统, XP? 还有没有98的

2006-01-08 17:15:00 刘世伟
xp或者win2000,不用98

2006-01-08 17:17:00 刘世伟
我们还有一台专门做网关的linux
配置成一台透明代理。
所谓的透明代理,就是让所有流经网关的80端口的http流量自动灌到本机的http_proxy服务器。
这样的功能也是win下找不到的。

透明代理的优点好多:
1.对http的流量进行缓冲加速, 这是proxy原本的功能。
2.http_proxy在应用层进行url过滤,比路由器在下一层用解码分析来过滤url要少占用cpu,
?? ?? 通过url过滤网页病毒,在proxy上面,我设置了规则,过滤所有的cab文件,除微软的和swf的升级, 那些不管3721都被档在了公司网络之外。
?? ?? 顺手还过滤了mp3,rm,avi
3.保存url访问日志。

2006-01-08 17:19:00 刘世伟
利用这个流量转向功能,我还实现了客户机网络配置自动纠错功能。
公司的同事,经常会因为dns,pop3,smtp的设置错误而影响工作,
我在网关,把流经的流量,按照端口灌到不同的服务器地址,这样不管同事们的设置错的多么离谱, 都不影响收发邮件。
我们是把pop3和smtp流量强制灌到公司的邮件服务器。
dns流量不管目的ip是什么,一律转发到127.0.0.1
这样,即使他们设了个1.1.1.1的pop3收信地址,也保证可以收到自己的邮件。
这样挺省事。 大家从来不因为dns,pop3,smtp的故障来烦我。公司的微机的维护工作量,就降下来了。
当然副作用就是用笔记本的同事,如果网络设置错误,可能在公司以外的地方收不了信,
好玩的是,他们居然以为就是这么设置的,只允许在公司收邮件,哈哈.
另外,强烈建议在公司内部建立一个dns服务器, 因为接入商的dns实在是太忙了。
部署了这些,除了自动纠错,dns加速,http加速之外,还实现了QQ的封锁,
因为QQ最难封的就是它走了http端口,和dns端口,上面这些设置,封闭了QQ的http和dns端口联接方式, 这样封qq就好办多了。

流量转移用的是iptables的REDIRECT
然后作为加密。我从网关到邮件服务器之间架设了一个openvpn,我们的pop3,smtp就都走了加密通道了。
然后最后封掉除smtp,pop3,http以外的所有的流量.
这样一个防护,对于一个公司来说,已经可以够用了。
如果有特殊需要, 可以特殊的来开端口。
实际已经是一种网闸的模式了,就是所有的流量都不直接跟外界交流,要通过http_proxy或者dns服务器在应用层进行中转。

--
安恒公司 刘世伟 2006-01-08 19:17
... -= 用linux!远离病毒,漏洞和注册码! =- ...

责任编辑: admin