第 6 章 網路應用
上一页     下一页

第 6 章 網路應用

目录

6.1. 網頁瀏覽器
6.1.1. 瀏覽器配置
6.2. 郵件系統
6.2.1. 電子郵件基礎
6.2.2. 現代郵件服務限制
6.2.3. 歷史郵件服務端期望
6.2.4. 郵件傳輸代理 (MTA)
6.2.4.1. exim4 的配置
6.2.4.2. 帶有 SASL 的 postfix 配置
6.2.4.3. 郵件地址配置
6.2.4.4. 基礎 MTA 操作
6.3. 伺服器遠端訪問和工具 (SSH)
6.3.1. SSH 基礎
6.3.2. 遠端主機上的使用者名稱
6.3.3. 免密碼遠端連線
6.3.4. 處理其它 SSH 客戶端
6.3.5. 建立 ssh 代理
6.3.6. 從遠端主機發送郵件
6.3.7. SMTP/POP3 隧道的埠轉發
6.3.8. 怎樣通過 SSH 關閉遠端系統
6.3.9. SSH 故障排查
6.4. 列印服務和工具
6.5. 其它網路應用服務
6.6. 其它網路應用客戶端
6.7. 系統後臺守護程序(daemon)診斷

建立網路連線後(參加 第 5 章 網絡設置),你可以執行各種網路應用。

[提示] 提示

對於現代的 Debian 網路基礎設施的具體說明,閱讀 Debian 管理員手冊 —— 網路基礎設施
[提示] 提示

在某些 ISP 下,如果你啟用“兩步驗證”,你可能需要獲取一個應用密碼以從你的程式訪問 POP 和 SMTP 服務。你也可能需要事先允許你的主機 IP 進行訪問。

6.1. 網頁瀏覽器

有許多網頁瀏覽器軟體包,使用超文字傳輸協議(HTTP)訪問遠端內容。

表 6.1. 網頁瀏覽器列表

軟件包 流行度 大小 類型 網路瀏覽器說明
chromium V:56, I:131 203203 X Chromium,(來自 Google 的開源瀏覽器)
firefox V:12, I:19 210212 同上 Firefox,(來自 Mozilla 的開源瀏覽器,僅在 Debian Unstable 中可用)
firefox-esr V:232, I:438 209737 同上 Firefox ESR(Firefox 延長支援版本)
epiphany-browser V:4, I:21 5559 同上 GNOME,相容 HIGEpiphany
konqueror V:20, I:97 21465 同上 KDEKonqueror
dillo V:1, I:6 1536 同上 Dillo,(基於 FLTK 的輕量級瀏覽器)
w3m V:26, I:231 2367 文字 w3m
lynx V:13, I:92 1949 同上 Lynx
elinks V:5, I:26 1767 同上 ELinks
links V:6, I:36 2286 同上 Links(純文字)
links2 V:1, I:13 5459 影象 Links(沒有 X 的控制檯影象)

在某些瀏覽器中,你可以使用下列特殊的 URL 來確認它們的設定。

  • "about:"

  • "about:config"

  • "about:plugins"

Debian 提供了在 main 檔案庫中提供了許多自由的瀏覽器外掛軟體包,不僅可以處理 Java(軟體平臺)Flash,也可以處理 MPEGMPEG2MPEG4DivXWindows Media Video (.wmv)QuickTime (.mov)MP3 (.mp3)Ogg/Vorbis 檔案、DVD、VCD 等等。Debian 也提供相關輔助程式,可以用來安裝來自 contrib 或 non-free 的 non-free 瀏覽器外掛軟體包。

表 6.2. 瀏覽器外掛軟體包列表

軟件包 流行度 大小 區域 說明
pepperflashplugin-nonfree V:0, I:13 26 contrib Pepper Flash Player(胡椒 Flash 播放器)——瀏覽器外掛

[提示] 提示

儘管使用上述的 Debian 軟體包會更容易,但你依舊可以手動啟用外掛,你需要將 “*.so” 檔案安裝到外掛目錄中(例如 “/usr/lib/iceweasel/plugins/”)並重啟瀏覽器。

有些網站拒絕基於你所使用瀏覽器的使用者代理字串的連線。你可以通過 偽裝使用者代理字串 來解決這個問題。例如,你可以新增下面這行到使用者配置檔案中(例如 “~/.gnome2/epiphany/mozilla/epiphany/user.js” 或 “~/.mozilla/firefox/*.default/user.js”)。

user_pref{"general.useragent.override","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"};

或者,你也可以通過輸入 “about:config” 到 URL,並右擊它所顯示的內容,來新增並重置這個變數。

[小心] 小心

偽裝的使用者代理字串可以會導致 來自 Java 的不良副作用

6.2. 郵件系統

本章節關注於消費者級網際網路連線的典型的移動工作站。

[小心] 小心

如果你想設定郵件伺服器來直接通過網際網路交換郵件,你應該最好閱讀一下這個基本文件。

電子郵件 由三個部分組成,訊息的信封,郵件標頭及郵件正文。

  • SMTP 用電子郵件信封上的 "To" 和 "From" 資訊來投遞郵件。(信封上的 "From" 資訊也被叫做退回地址, 例如 From_ 等等)。

  • 電子郵件頭的"To" 和 "From" 資訊,顯示在 電子郵件客戶端上. (在大部分情況下,這些資訊是跟電子郵件信封一致,但並不全是這樣。)

  • 覆蓋郵件頭和正文資料的電子郵件訊息格式被 多用途網際網路郵件擴充套件 (MIME) 擴充套件,從純文字的 ASCII 到其它字元編碼,包括作為附件的音訊、影片、影象和應用程式。

功能全面的基於 電子郵件客戶端的 GUI 程式使用基於 GUI 的直觀的配置,提供下列所有功能。

  • 為了處理正文資料型別及其編碼,它建立和使用多用途網際網路郵件擴充套件 (MIME)來解釋郵件標頭和郵件正文。

  • 它使用舊的 基礎訪問認證 或現代的 OAuth 2.0向 ISP(網際網路服務提供商)的 SMTP 和 IMAP 伺服器認證它自己。 (對於 OAuth 2.0,透過桌面環境設定來設定它,例如,"Settings" -> "Online Accounts".)

  • 它傳送訊息到 ISP 的智慧主機的 SMTP 服務監聽的訊息遞交埠(587)。

  • 從 TLS/IMAP4 埠(993)接收儲存在 ISP 的伺服器上的訊息。

  • 它能夠透過他們的屬性過濾郵件。

  • 它能夠提供額外的功能:聯絡人、日曆、任務、備忘錄。

表 6.3. 郵件使用者代理列表 (MUA)

軟件包 流行度 大小 類型
evolution V:31, I:236 484 X GUI 程式 (GNOME3, groupware 套件)
thunderbird V:60, I:133 201933 X GUI 程式 (GTK, Mozilla Thunderbird)
kmail V:33, I:87 21237 X GUI 程式 (KDE)
mutt V:35, I:251 7021 很有可能與 vim 一起使用的字元終端程式
mew V:0, I:0 2334 (x)emacs 下的字元終端程式

現代郵件伺服器有一些限制來最小化暴露濫用(不希望和未被要求的電子郵件)問題。

  • 在消費者級的網路上執行 SMTP 伺服器來直接可靠的傳送郵件到遠端主機是不現實的。

  • 一個郵件能夠被任何主機靜悄悄的拒絕,即使路由到了目的地,除非它儘可能看起來是經過認證的。

  • 期望單個智慧主機可靠的傳送不相關的源郵件地址到遠端主機,這是不現實的。

這是因為:

一些在 Debian 上的程式,它們預設期望訪問 /usr/sbin/sendmail 命令來發送郵件,或者從一個個性化設定的 UNIX 系統郵件伺服器來發送郵件,實現歷史的功能:

  • 郵件是由純文字檔案建立。

  • 郵件是由 /usr/sbin/sendmail 命令處理。

  • 對於目的地址為同一主機,/usr/sbin/sendmail 命令進行郵件的本地分發,將郵件附在 /var/mail/$username 檔案後。

    • 期望這個特徵的命令: apt-listchanges, cron, at, ...

  • 對於目的地址在遠端主機,/usr/sbin/sendmail 命令遠端傳輸郵件到目的主機,使用 SMTP 發現 DNS MX 記錄。

    • 期望這個特徵的命令:popcon, reportbug, bts, ...

在理論上,在沒有 mail transfer agent (MTA) 程式提供 /usr/sbin/sendmail 命令的情況下,移動工作站可以正常工作。

Debian 系統通常安裝 MTA 來和 第 6.2.2 节 “現代郵件服務限制”第 6.2.3 节 “歷史郵件服務端期望” 協作,即使移動工作站已經安裝了基於 電子郵件客戶端 的功能全面的 GUI 程式。

對於移動工作站,典型的 MTA 選擇是 exim4-daemon-lightpostfix,並選擇類似這樣的安裝選項:“Mail sent by smarthost; received via SMTP or fetchmail”。這些是輕量 MTA 和 "/etc/aliases" 匹配。

[提示] 提示

配置 exim4 來發送網際網路郵件,多個源電子郵件地址使用多個相應的智慧主機,這是不尋常的。如果一些程式需要這樣的能力,使用 msmtp 來設定他們,它比較容易來設定多個源電子郵件地址。然後給主 MTA 僅僅保留單個電子郵件地址。

表 6.4. 基礎的郵件傳輸代理相關的軟體包列表

軟件包 流行度 大小 說明
exim4-daemon-light V:301, I:321 1562 Exim4 郵件傳輸代理 (MTA : Debian 預設的)
exim4-daemon-heavy V:7, I:7 1716 Exim4 郵件傳輸代理 (MTA : 靈活的替代品)
exim4-base V:309, I:330 1734 Exim4 文件 (文字) 和通用檔案
exim4-doc-html I:1 3667 Exim4 文件 (html)
exim4-doc-info I:1 625 Exim4 文件 (info)
postfix V:140, I:153 4175 Postfix 郵件傳輸代理 (MTA : 安全的替代品)
postfix-doc I:8 4448 Postfix 文件 (html+text)
sasl2-bin V:5, I:17 455 Cyrus SASL API 實現 (實現 postfix SMTP 認證)
cyrus-sasl2-doc I:1 2188 Cyrus SASL - 文件
msmtp V:6, I:11 586 輕量 MTA
msmtp-mta V:4, I:5 92 輕量 MTA (sendmail 相容擴充套件到msmtp)
esmtp V:0, I:0 128 輕量 MTA
esmtp-run V:0, I:0 32 輕量 MTA(sendmail 相容擴充套件到esmtp)
nullmailer V:8, I:10 479 部分功能 MTA,沒有本地郵件
ssmtp V:6, I:9 2 部分功能 MTA,沒有本地郵件
sendmail-bin V:14, I:15 1878 全功能 MTA(如果你已經對它熟悉)
courier-mta V:0, I:0 2439 全功能 MTA(web 介面等.)

對於那些通過 smarthost 的網路郵件,你應該按如下所示的 (重新) 配置 exim4-* 軟體包。

$ sudo systemctl stop exim4
$ sudo dpkg-reconfigure exim4-config

配置 "General type of mail configuration" 時,選擇 "mail sent by smarthost; received via SMTP or fetchmail"。

設定 "System mail name:" 為預設的 FQDN (參見第 5.1.1 节 “主機名解析”)。

設定 "IP-addresses to listen on for incoming SMTP connections:" 為預設的 "127.0.0.1; ::1"。

"Other destinations for which mail is accepted:" 選項留空。

"Machines to relay mail for:" 選項留空。

設定 "IP address or host name of the outgoing smarthost:" 為 "smtp.hostname.dom:587"。

設定 "Hide local mail name in outgoing mail?" 選項為 "NO"。(或者像第 6.2.4.3 节 “郵件地址配置”描述的那樣使用 /etc/email-addresses" 代替)

選擇如下所示的其中一個來回答 "Keep number of DNS-queries minimal (Dial-on-Demand)?"。

  • "No" 如果啟動的時候,系統就連上了網際網路。

  • "Yes" 如果啟動的時候,系統沒有連上網際網路。

設定 "Delivery method for local mail:" 選項為 "mbox format in /var/mail/"。

"Split configuration into small files?:" 選項設為 "Yes"。

通過修改 "/etc/exim4/passwd.client" 檔案,來建立用於 smarthost 的密碼條目。

$ sudo vim /etc/exim4/passwd.client
 ...
$ cat /etc/exim4/passwd.client
^smtp.*\.hostname\.dom:username@hostname.dom:password

配置 exim4(8),在 "/etc/default/exim4" 檔案中寫入 "QUEUERUNNER='queueonly'","QUEUERUNNER='nodaemon'" 等等,來最小化系統資源使用。(可選的)

通過如下所示的啟動 exim4

$ sudo systemctl start exim4

"/etc/exim4/passwd.client" 檔案中的主機名不應該是別名,你應該按如下所示的檢查真正的主機名。

$ host smtp.hostname.dom
smtp.hostname.dom is an alias for smtp99.hostname.dom.
smtp99.hostname.dom has address 123.234.123.89

我在 "/etc/exim4/passwd.client" 檔案中使用正則表示式來繞過別名問題。即使 ISP 更改了別名所指向的主機名,SMTP AUTH 還是可能工作的。

你能夠通過如下所示的手動更新 exim4 配置:

  • 更新 "/etc/exim4/" 目錄下的 exim4 配置檔案。

    • 建立 "/etc/exim4/exim4.conf.localmacros" 來設定巨集命令和修改 "/etc/exim4/exim4.conf.template" 檔案。(沒有分割的配置)

    • 在 ”/etc/exim4/exim4.conf.d" 子目錄中建立新檔案或編輯已存在的檔案。(分割的配置)

  • 執行 "systemctl reload exim4".

[小心] 小心

如果 debconf 詢問 "Keep number of DNS-queries minimal (Dial-on-Demand)?" 這個問題時,選擇 了 "No" (預設值),那麼啟動 exim4 會花很長時間並且系統在啟動的時候不會連線到網際網路。

請閱讀 "/usr/share/doc/exim4-base/README.Debian.gz" 官方指導和 update-exim4.conf(8)。

[警告] 警告

從所有的實踐考慮,使用帶 STARTTLSSMTP 埠 587,或者 SMTPS SSL (SMTPS) 埠 465, 代替純 SMTP 埠 25。

對於通過 smarthost 的網路郵件,你應該首先閱讀 postfix 文件和關鍵的手冊頁。

表 6.5. 重要的 postfix 手冊頁列表

命令 功能
postfix(1) Postfix 控制程式
postconf(1) Postfix 配置工具
postconf(5) Postfix 配置引數
postmap(1) Postfix 查詢表維護
postalias(1) Postfix 別名資料庫維護

你應該按如下所示的 (重新) 配置 postfixsasl2-bin 軟體包。

$ sudo systemctl stop postfix
$ sudo dpkg-reconfigure postfix

選擇 "Internet with smarthost"。

設定 "SMTP relay host (blank for none):" 為 "[smtp.hostname.dom]:587" 並按如下所示配置。

$ sudo postconf -e 'smtp_sender_dependent_authentication = yes'
$ sudo postconf -e 'smtp_sasl_auth_enable = yes'
$ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd'
$ sudo postconf -e 'smtp_sasl_type = cyrus'
$ sudo vim /etc/postfix/sasl_passwd

為 smarthost 建立密碼條目。

$ cat /etc/postfix/sasl_passwd
[smtp.hostname.dom]:587     username:password
$ sudo postmap hush:/etc/postfix/sasl_passwd

通過如下所示的啟動 postfix

$ sudo systemctl start postfix

dpkg-reconfigure 會話中使用的 "[" 和 "]" 和 "/etc/postfix/sasl_passwd" 確保不去檢查 MX 記錄而是直接使用指定的明確主機名。參見 "/usr/share/doc/postfix/html/SASL_README.html" 裡面的 "Enabling SASL authentication in the Postfix SMTP client" 條目。

這裡有一些用於郵件傳輸、投遞和使用者代理的郵件地址配置檔案

表 6.6. 與郵件地址相關的配置檔案列表

檔案 功能 應用
/etc/mailname 用於 (外發) 郵件的預設主機名 Debian 專用的,mailname(5)
/etc/email-addresses 用於外發郵件的主機名偽裝 exim(8) 專用的,exim4-config_files(5)
/etc/postfix/generic 用於外發郵件的主機名偽裝 postfix(1) 專用的,postmap(1) 命令執行後啟用。
/etc/aliases 用於接收郵件的賬戶別名 通用的,newaliases(1) 命令執行後啟用。

"/etc/mailname" 檔案中的 mailname 通常是全稱域名 (FQDN),這個全程域名將會被解析成主機的 IP 地址。對於沒有可解析成 IP 地址的主機名的移動工作站,設定 mailname 為 "hostname -f" 的值。(這對於 exim4-*postfix 都是安全有效的選擇。)

[提示] 提示

"/etc/mailname" 中的內容被許多非 MTA 程式用作它們的預設行為。對於 mutt, 在~/muttrc 檔案中設定 "hostname" 和 "from" 變數來覆蓋 mailname 值。對於 devscripts 軟體包的程式,例如 bts(1) 和 dch(1),匯出環境變數 "$DEBFULLNAME" 和 "$DEBEMAIL" 的值來覆蓋它。
[提示] 提示

popularity-contest 軟體包一般以 FQDN 形式的 root 賬戶傳送郵件。你需要像 /usr/share/popularity-contest/default.conf 檔案中描述的那樣去設定 /etc/popularity-contest.conf 檔案中的 MAILFROM 值。否則,你的郵件會被 smarthost SMTP 伺服器拒絕。儘管這些過程很乏味,這種方法比為所有通過 MTA 並且是以 root 使用者傳送的郵件重寫源地址更安全。這也可以被其他守護程序或者是 cron 指令碼使用。

當設定 mailname 為 "hostname -f" 的值時,通過 MTA 的源郵件地址的偽裝可以通過如下所示的來實現。

  • 用於 exim4(8) 的 "/etc/email-addresses" 檔案,exim4-config_files(5) 手冊頁中有關於它的解釋

  • 用於 postfix(1) 的 "/etc/postfix/generic" 檔案,generic(5) 手冊頁中有關於它的解釋

對於 postfix,接下來的額外步驟需要執行。

# postmap hash:/etc/postfix/generic
# postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic'
# postfix reload

你能夠通過如下所示的來測試郵件地址配置。

  • exim(8) 用 -brw, -bf, -bF, -bV, ... 選項

  • postmap(1) 用 -q 選項。

[提示] 提示

Exim 帶有一些有用的程式,例如 exiqgrep(8) 和 exipick(8)。參見 "dpkg -L exim4-base|grep man8/" 來獲得可用的命令。

這裡有一些基礎的 MTA 操作。有一些可能會通過 sendmail(1) 的相容性介面來實現。

表 6.7. 基礎 MTA 操作列表

exim 命令 postfix 命令 說明
sendmail sendmail 從標準輸入讀取郵件並且安排投遞 (-bm)
mailq mailq 列出帶有狀態和佇列 ID 的郵件佇列 (-bq)
newaliases newaliases 初始化別名資料庫 (-I)
exim4 -q postqueue -f 重新整理等待郵件 (-q)
exim4 -qf postsuper -r ALL deferred; postqueue -f 重新整理所有郵件
exim4 -qff postsuper -r ALL; postqueue -f 重新整理甚至已經凍結的郵件
exim4 -Mg queue_id postsuper -h queue_id 通過郵件的佇列 ID 來凍結它
exim4 -Mrm queue_id postsuper -d queue_id 通過郵件的佇列 ID 來移除它
N/A postsuper -d ALL 移除所有郵件

[提示] 提示

往 "/etc/ppp/ip-up.d/*" 裡寫一個重新整理所有郵件的指令碼會是個不錯的主意。

6.3. 伺服器遠端訪問和工具 (SSH)

Secure SHell (SSH) 是因特網上的 安全 連線方式。在 Debian 裡面,有一個叫 OpenSSH 的免費 SSH 版本,在 openssh-clientopenssh-server 包裡。

對於使用者來講, ssh(1) 功能比telnet(1) 更加智慧和安全. 不像 telnet命令, ssh 命令不會在遇到 telnet 的退出字元(初始預設是 CTRL-])時停止.

表 6.8. 伺服器遠端訪問和工具列表

軟件包 流行度 大小 工具 說明
openssh-client V:817, I:996 4754 ssh(1) SSH 客戶端
openssh-server V:696, I:828 1690 sshd(8) SSH 服務端
ssh-askpass V:2, I:31 107 ssh-askpass(1) 請求使用者輸入密碼的 ssh-add (plain X)
ssh-askpass-gnome V:0, I:5 315 ssh-askpass-gnome(1) 請求使用者輸入 ssh-add 密碼 (GNOME)
ssh-askpass-fullscreen V:0, I:0 50 ssh-askpass-fullscreen(1) 請求使用者輸入 ssh-add 密碼 (GNOME),有更好看的介面
shellinabox V:0, I:1 507 shellinaboxd(1) 瀏覽器訪問 VT100 終端模擬器 網頁伺服器

雖然 shellinabox 不是一個 SSH 程式,它列在這裡作為遠端終端訪問的一個有趣的替代。

連線到遠端 X 客戶端程式,參見:第 7.8 节 “X 服務端連線”

[小心] 小心

如果你的 SSH 是從因特網來訪問,參見 第 4.6.3 节 “網際網路額外的安全方式”
[提示] 提示

請使用 screen(1) 程式來讓遠端 shell 在中斷的連線上存活(參見 第 9.1.2 节 “screen 程式”).

OpenSSH SSH 後臺守護程序(daemon)只支援 SSH 2協議。

請閱讀 "/usr/share/doc/openssh-client/README.Debian.gz"、 ssh(1)、 sshd(8)、 ssh-agent(1)、 ssh-keygen(1)、 ssh-add(1) 和 ssh-agent(1).

[警告] 警告

如果想要執行 OpenSSH 服務,"/etc/ssh/sshd_not_to_be_run"必須不存在。

不要開啟基於 rhost 的認證( /etc/ssh/sshd_config 中的 HostbasedAuthentication )。

表 6.9. SSH 配置檔案列表

配置檔案 配置檔案描述
/etc/ssh/ssh_config SSH 客戶端預設, 參見 ssh_config(5)
/etc/ssh/sshd_config SSH 服務端預設, 參見 sshd_config(5)
~/.ssh/authorized_keys 該賬戶連線到這個伺服器上的客戶端使用的預設 SSH 公鑰
~/.ssh/id_rsa 使用者的 SSH-2 RSA 私鑰
~/.ssh/id_key-type-name 使用者的 SSH-2 金鑰, key-type-nameecdsaed25519

從客戶端啟動一個 ssh(1) 連線.

表 6.10. SSH 客戶端啟動例子列表

命令 說明
ssh username@hostname.domain.ext 使用預設模式連線
ssh -v username@hostname.domain.ext 有詳細資訊的預設連線模式
ssh -o PreferredAuthentications=password username@hostname.domain.ext SSH 2 版本,強制使用密碼
ssh -t username@hostname.domain.ext passwd 在遠端主機上執行 passwd 命令來更新密碼

如果你在本地和遠端主機上使用相同的使用者名稱,你能夠省略輸入"username@"。

即使在本地和遠端主機使用不同的使用者名稱,你可以使用 "~/.ssh/config" 來省略輸入使用者名稱.對於 Debian Salsa 伺服器,使用賬戶名 "foo-guest",你可以設定 "~/.ssh/config" 包含下面的內容。

Host salsa.debian.org people.debian.org
User foo-guest

使用"PubkeyAuthentication" (SSH-2 協議),人們可以避免記住遠端系統的密碼.

在遠端系統的"/etc/ssh/sshd_config"裡,設定相應的條目, "PubkeyAuthentication yes"。

在本地生成授權祕鑰對,並安裝公鑰到遠端系統。

$ ssh-keygen -t rsa
$ cat .ssh/id_rsa.pub | ssh user1@remote "cat - >>.ssh/authorized_keys"

你可以在 "~/.ssh/authorized_keys" 裡給條目增加選項來限制主機和執行特定的命令。參見 sshd(8)"AUTHORIZED_KEYS FILE FORMAT" 。

其它平臺上有一些免費的 SSH 客戶端。

表 6.11. 其它平臺上免費 SSH 客戶端列表

環境 免費 SSH 程式
Windows puTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/) (GPL)
Windows (cygwin) cygwin 裡的 SSH (http://www.cygwin.com/) (GPL)
Macintosh 類 macSSH (http://www.macssh.com/) (GPL)
Mac OS X OpenSSH;在終端應用中使用 ssh (GPL)

用密碼來保護你的 SSH 認證私鑰是安全的。如果密碼沒有設定,使用 "ssh-keygen -p" 來設定。

把你的公鑰 (比如:"~/.ssh/id_rsa.pub") 放到遠端主機的"~/.ssh/authorized_keys",這個遠端主機使用上面描述的基於密碼的連線方式。

$ ssh-agent bash
$ ssh-add ~/.ssh/id_rsa
Enter passphrase for /home/username/.ssh/id_rsa:
Identity added: /home/username/.ssh/id_rsa (/home/username/.ssh/id_rsa)

從這裡執行接下來的命令,就不再需要密碼。

$ scp foo username@remote.host:foo

按 ^D 來終結 ssh 代理會話。

對於 X 服務端,通常的 Debian 啟動指令碼會作為父程序執行 ssh-agent。所以你只需要執行一次 ssh-add。進一步的資訊,請閱讀 ssh-agent(1) 和 ssh-add(1).

如果你在一個正確設定 了DNS 的伺服器上有一個 SSH shell 賬號,你能夠將在你本地工作站上生成的郵件,作為遠端伺服器上的郵件,真正的從遠端伺服器上傳送。

$ ssh username@example.org /usr/sbin/sendmail -bm -ti -f "username@example.org" < mail_data.txt

通過 ssh 建立一個這樣的管道連線,從 localhost 的 4025 埠到 remote-server 的 25 埠,並從 localhost 的 4110 埠到 remote-server 的 110 埠,請在本機執行如下命令.

# ssh -q -L 4025:remote-server:25 4110:remote-server:110 username@remote-server

這是跨越因特網建立 SMTP/POP3 服務連線的安全方法。在遠端主機"/etc/ssh/sshd_config"裡設定"AllowTcpForwarding"條目為 "yes".

你可以使用 at(1) 命令 (參見 第 9.4.13 节 “單次任務時間安排”)來從 SSH 終端裡保護"shutdown -h now" (參見 第 1.1.8 节 “怎樣關閉系統”)操作過程。

# echo "shutdown -h now" | at now

screen(1) (參見 第 9.1.2 节 “screen 程式”) 會話裡執行 "shutdown -h now",是另外一個方法來做這同樣的事情。

如果你遇到問題,檢查配置檔案的許可權並用 "-v" 選項執行 ssh

如果你是 root 賬戶,並有使用防火牆,使用 "-p" 選項; 這可以避免使用1 — 1023 之間的服務埠.

如果 ssh 連線到遠端站點突然停止工作,這也許是系統管理員胡亂操作的結果,可能是在系統維護時改變了 "host_key". 在確認這個情況後,並且沒有人試圖用聰明的黑客技術來篡改遠端主機,你可以在本機 "~/.ssh/known_hosts" 裡刪除 "host_key" 條目來重新獲得連線。

6.4. 列印服務和工具

在老的類 Unix 系統中,BSD Line printer daemon(lpd) 行印表機後臺守護 曾經是標準。傳統的自由軟體的標準列印輸出格式是 PostScript (PS)。為了能夠列印到非 PostScript 印表機,需要將一些過濾器系統和 Ghostscript 一道使用。參見 第 11.4.1 节 “Ghostscript”

在現代的 Debian 系統中,Common UNIX Printing System 通用 UNIX 列印系統是事實上的標準。現代自由軟體的標準列印輸出格式是 Portable Document Format (PDF)可移植檔案格式

CUPS 使用 Internet Printing Protocol 網際網路列印協議 (IPP). IPP 現在已經被其它作業系統,如 Windows XP 和 Mac OS X 支援。它已經變成新的具備雙向通訊能力的跨平臺遠端列印的事實標準。

幸虧有 CUPS 系統的檔案格式依賴自動轉化特徵,簡單的傳送任何資料到 lpr 命令,都將產生期望的列印輸出。(在 CUPS 裡, lpr 能夠通過安裝 cups-bsd 軟體包來獲取.)

Debian 系統有一些不錯的軟體包用於列印服務和作為列印工具。

表 6.12. 列印服務和工具列表

軟件包 流行度 大小 說明
lpr V:3, I:4 362 printer (515) BSD lpr/lpd (線性印表機後臺守護程序 daemon)
lprng V:0, I:1 3064 同上 , , (增強)
cups V:127, I:344 1135 IPP (631) 網際網路列印 CUPS 伺服器
cups-client V:142, I:410 493 同上 用於 CUPS 的 System V 印表機命令: lp(1), lpstat(1), lpoptions(1), cancel(1), lpmove(8), lpinfo(8), lpadmin(8), …
cups-bsd V:36, I:317 121 同上 用於 CUPS 的 BSD 印表機命令: lpr(1), lpq(1), lprm(1), lpc(8)
printer-driver-gutenprint V:63, I:270 941 沒有使用 CUPS 印表機驅動

[提示] 提示

你可以讓你的 web 瀏覽器訪問 "http://localhost:631/" 來配置 CUPS 系統。

6.5. 其它網路應用服務

這裡是其它網路應用服務。

表 6.13. 其它網路應用服務列表

軟件包 流行度 大小 協議 說明
telnetd V:0, I:2 114 TELNET TELNET 服務
telnetd-ssl V:0, I:0 169 同上 TELNET 服務( 支援SSL)
nfs-kernel-server V:43, I:74 342 NFS Unix 檔案共享
samba V:103, I:150 16643 SMB Windows 檔案和列印共享
netatalk V:1, I:3 2082 ATP Apple/Mac 檔案和列印共享(AppleTalk)
proftpd-basic V:19, I:28 488 FTP 通用檔案下載
apache2 V:237, I:300 618 HTTP 通用 web 伺服器
squid V:12, I:13 9085 同上 通用 web 代理伺服器
squid3 V:3, I:8 240 同上 同上
bind9 V:49, I:59 1132 DNS 其它主機的 IP 地址
isc-dhcp-server V:19, I:49 1471 DHCP 客戶端自身的 IP 地址

通用網際網路檔案系統協議(CIFS) 和服務訊息塊(SMB) 協議一樣,被微軟 Windows 廣泛應用。

[提示] 提示

參見 第 4.5.2 节 “現代的集中式系統管理” 服務系統整合。
[提示] 提示

主機名解析通常由 DNS 服務提供. 對於由 DHCP 動態分配的主機 IP 地址, 動態 DNS 能夠使用 bind9isc-dhcp-server 建立主機名解析,Debian wiki 的 DDNS 頁 有說明.
[提示] 提示

使用 squid 之類的代理伺服器,和使用 Debian 文件庫的完全本地映象伺服器相比,能夠大量節省頻寬。

6.6. 其它網路應用客戶端

這裡是其它網路應用客戶端。

表 6.14. 網路應用客戶端列表

軟件包 流行度 大小 協議 說明
netcat I:40 16 TCP/IP TCP/IP 瑞士軍刀
openssl V:809, I:994 1466 SSL 安全套接字層 (SSL)二進位制和相關的加密工具
stunnel4 V:6, I:15 539 同上 通用 SSL 封裝
telnet V:61, I:903 166 TELNET TELNET 客戶端
telnet-ssl V:0, I:3 209 同上 TELNET 服務( 支援SSL)
nfs-common V:169, I:303 768 NFS Unix 檔案共享
smbclient V:18, I:191 2018 SMB 微軟 Windows 檔案和列印共享客戶端
cifs-utils V:32, I:121 307 同上 遠端微軟 Windows 檔案系統掛載和解除安裝命令
ftp V:14, I:226 137 FTP FTP 客戶端
lftp V:5, I:38 2377 同上 同上
ncftp V:2, I:20 1339 同上 全屏 FTP 客戶端
wget V:252, I:986 3581 HTTPFTP web 下載工具
curl V:165, I:567 452 同上 同上
axel V:0, I:4 216 同上 下載加速器
aria2 V:2, I:19 1857 同上 BitTorrentMetalink 支援的下載加速器
bind9-host V:158, I:947 381 DNS 來自 bind9 的 host(1), "Priority: standard"
dnsutils V:44, I:443 272 同上 來自 bind 的 dig(1), "Priority: standard"
isc-dhcp-client V:220, I:982 686 DHCP 獲得 IP 地址
ldap-utils V:13, I:74 719 LDAP 從 LDAP 服務獲取資料

6.7. 系統後臺守護程序(daemon)診斷

telnet 程式能夠手工連線到系統後臺守護程序(daemon),並進行診斷。

測試純 POP3 服務,嘗試用下面的操作

$ telnet mail.ispname.net pop3

部分 ISP 提供 TLS/SSL 加密的POP3 服務,為了測試它,你需要用到 telnet-ssl 包裡支援 TLS/SSL 的 telnet 客戶端,或 openssl 軟體包。

$ telnet -z ssl pop.gmail.com 995
$ openssl s_client -connect pop.gmail.com:995

下面的 RFCs 提供每一個系統後臺守護程序(daemon)所需要的知識。

表 6.15. 常用 RFC 列表

RFC 說明
rfc1939rfc2449 POP3 服務
rfc3501 IMAP4 服務
rfc2821 (rfc821) SMTP 服務
rfc2822 (rfc822) 郵件檔案格式
rfc2045 多用途網際網路郵件擴充套件 (MIME)
rfc819 DNS 服務
rfc2616 HTTP 服務
rfc2396 URI 定義

在 "/etc/services" 裡,描述了埠用途.

上一页     下一页
第 5 章 網絡設置  起始页  第 7 章 GUI(圖形使用者介面)系統