Setp by Setp组建商用网络服务器

2003-03-25 15:19  猪巴@北京/(天极网商务应用频道)

  近日,公司要我组建一个网络服务器(NetServer)。我这个作Webmaster(网管)的可不能辜负领导授予的重任。于是便到处取经、访师问友、发愤读书…最后终得正果,成功、圆满的完成一个商用网络服务器,并且投入正常的运营之中。

  互联网在中国有很大的发展潜力,作为互联网络的硬件平台――网络服务器必不可少。学会完整的商用网络服务器的搭建,对于每个人来说都是有益处的。无论你是学生、IT从业者、非IT从业者,这一技能说不准那天你就能用得到。

  下面我将这套组建商用网络服务器的方法介绍各大家,采用步步为营(Setp by Setp)的方法,逐步介绍。希望更多的朋友与我切磋,更希望资深网管指教。

  网络服务器(NetServer)篇:

  我们上Internet网,浏览新浪、搜狐,收发Email,聊天,泡论坛等等,所有的这些服务都是由程序组成的,这些程序安装在网络服务器上,网络服务器就是一台配置非常高端的电脑,往往这些网络服务器会放在电信的主干网上进行服务器托管。简单的说把你们公司的服务器放到专门提供服务器托管的网络公司托管,每月支付相应的托管费用即可。

  网络服务器的品牌、品种很多,大小不等。我选用的是HP的LP1000r,由于这台机器的高度符合1U标准(大约5cm高),体积小,可以大大的节省托管费用。外形酷似做饭用的菜板:)。有一些高端的服务器提供更好的配置与升级性能,但也增大了机器体积,但是这提升了托管成本。

  服务器托管费用主要有2部分构成,一是服务器的出口带宽,二是服务器占用的空间。服务器出口带宽我选用的是性价比较好的100M共享的公共机房,我的服务器可以分到2M的带宽。1U服务器托管的费用大约为500元/月,2U的大约为1200元/月,看来选择1U的服务器是非常明智的选择。其实他的配置也不错。

  这台服务器采用1266MHz的中央处理器,133MHz前端总线,512MBPC133SD内存带ECC校验,18GB1万转SCSI硬盘,双网卡。怎么样,不俗吧。加起来总共2万元人民币。

  购买时可不是一帆风顺的,销售服务器的公司很多,我到www.yesky.com网站经过一番查询,打几个电话,相互比较一下,发现他们的报价不统一,最后得知这是因为HP要为他们的经销商留利润造成的。多问几家便能摸到最低价。

 

操作系统篇:

  服务器一旦托管出去就是完全对外公开的,任何人都可以访问浏览,这里也包括黑客们的攻击,甚至微软等正版软件公司的反盗版行动也会光临。所以选择一个合适的操作系统至关重要。这种网络操作系统主要有两种,一种是MicrosoftWindows2000ServerLinux。前者价格600010000元,后者价格免费。但是由于Linux操作系统配置复杂,在此不作赘述。我选择的是Windows2000Server

  W2KS分为OEM版、非OEM版本。OEM版是微软交给联想等大OEM厂,让这些OEM厂压盘随其硬件出售;非OEM版本是由微软压盘随新硬件销售。他们最小都是5个用户授权。也就是说我花6000元人民币购买这个5用户的W2KS软件,可以在5台电脑上安装使用。

  除了操作系统外,还需要一个远程控制软件,由于服务器托管在远方,每次修改设置不可能亲临机房,使用远程控制软件,通过密码登陆,直接远程修改服务器信息。我选择的是赛门铁克公司的PcAnyWhere10.5简体中文版。这个软件分为主控端、被控端、主控端+被控端三个版本,其实这三个版本的价格在国内都差不多,我选择的是主控端+被控端版本,1200元人民币。

  软件安装:

  作为网络服务器,安全性是第一考虑因素。有句话:最大的安全=最小的服务。

  我们的网络服务器目前来说只需要WEB服务和FTP服务。这样我只安装IIS即可。下面我为大家一步一步讲解操作系统与工具软件的配置要点。
  1. 首先用HP自带的工具盘做出Win2000需要的SCSI设备的驱动程序。在第一次开机时,使用HP的黑色工具盘引导,按照指引做出两张驱动软盘;
  2. 使用W2KS光盘引导安装,注意在引导时,要及时按下"F6"键,目的是告诉操作系统,您的硬件使用了SCSI设备;
  3. 为了安全起见,把每个分区都分成NTFS分区;
  4. 系统所在分区容量不得低于5G
  5. 第一次启动系统后,要先安装最新的Windows2000 Service Pack 3,然后连接网络选择自动更新,经过这样的一番贴贴补补之后,操作系统算是比较安全了;
  6. 设置用户帐号:(密码要包括英文大小写,还要有数字,长度不低于12个字符)
  a) 把系统默认的administrator改名,改成别人不知道这个帐号是administrator
  b) 新建一个帐号,重命名:administrator,并给其最小的guest权限,这样一般黑客破解了这个假administrator帐号密码后,仍然对你的系统奈何不得;
  c) 新建一个帐号,给与user权限,用于日常维护系统。尽量不要每次都用administrators组中的帐号进行系统维护,这样可以防止你的管理员账号泄漏;
  d) 新建一个帐号,给administrators组权限,这个帐号用户为备份管理员,当你的管理员被黑客破解后、或者你忘记了系统管理员的密码,你可以使用这个备份管理员登陆,恢复损坏的原系统管理员;
  e) 删除不需要的帐号;

7. 设置硬盘分区的安全属性。由于所有硬盘分区都为NTFS格式,NTFS分区的优势在于它的安全性得到了大大的增强。通过查看硬盘分区(目录、文件)属性中的安全,只分配给需要的用户需要的权限。

  8. IIS设置WEB:(IIS是Internet服务管理器,位于管理工具中)

a) 根据IP访问站点:输入IP地址,端口为80,主机头不填写;
  b) 根据域名访问站点:输入IP地址,端口为80,主机头填写域名,在这里可以填加很多域名,需要注意的是www.abc.com.cn和abc.com.cn都要添上;
  c) 根据端口访问站点:由于公开默认的WEB端口为80,一般公开的网站不会把端口改为其他值。设置为其他的端口,可以用于专业特殊网站服务或者测试页面用。
  d) 如果是ASP的网站,安全进程要给"低IIS进程";

9. IIS设置FTP:

  a) 匿名下载ftp:输入IP地址,默认端口一定要为21,在匿名连接处如图所示,用户使用IU_COMPUTERNAME,下面两个可选框都选上,只给读的权限;
  b) 上传页面:输入IP地址,默认端口可以给其他值,匿名连接处如图所示,用户使用IU_COMPUTERNAME,下面两个可选框都不选,给读、写的权限,注意:同一个IP地址的FPT必须要用不同的端口区分。(这与Linux不同,Linux可以根据域名区分);
  10. 网站访问的用户和FTP匿名下载的用户为IU_COMPUTERNAME,需要注意的是在相应的磁盘分区目录中要给IU_COMPUTERNAME相应的权限。否则无法进行页面访问和匿名ftp访问;
  11. 安装远程管理软件PcAnyWhere,在服务器端安装"被控端",除了要设置用户名和密码外,还要设置一个配置密码,加强安全性;

小技巧:
  1. 平时维护使用普通的user帐号,如果需要administrators权限才能修改的IIS来说,可以通过以下小技巧运行。按住Shift,右键点击Internet服务管理器,选择"运行方式",这样一旦user帐号密码被破解,他也不可以修改其他系统配置信息。

  2. 关闭Dr.Watson,以减少系统遇到错误时系统资源消耗及残留碎片占用硬盘空间。

  3. 在退出PcAnyWhere前,让操作系统回到登陆前的界面;
  4. 转移C:\Inetpub到其他分区;
  5. 修改本地策略组内容,提高系统安全系数:

  a) 输入3次错误的密码,停用此帐号。这项功能位于帐户策略中的帐户锁定策略,把帐户锁定阈值设为3;
  b) 用户注销后,登陆界面清空原注销名称。这项功能位于本地策略中的安全选项中的"登陆屏幕上不要显示上次登陆的用户名";
  c) 对空帐号访问的处理。位于本地策略中的安全选项,让"对匿名连接的额外限制"选择SAM;
  6. 实用命令:
  a) secedit 修改策略组之后,除了重新启动计算机生效外,可以使用此命令激活;
  b) Tracert 查看访问站点经过的所有路由器;
  c) Convert 将FAT转换成Ntfs;