Re: debian linux在安恒公司的应用。

在06-1-8，liushiwei <liushiwei@anheng.com.cn> 写道：

今天在QQ上跟朋友聊了很多，整理一下，发上来。

2006-01-08 16:51:45 !刘世伟
我的域服务器上面有每天一次的完整备份，可以回溯到那一天的状态，
当然我从域服务器上很容易就找回来某个文档在某一天的状态。

2006-01-08 16:53:24 梅州客家人
这个怎么做的？

2006-01-08 16:53:33 !刘世伟
linux做的。

2006-01-08 16:53:48 梅州客家人
在2K下有没有办法？

2006-01-08 16:54:21 !刘世伟
没有可能，2k下需要大量的磁盘。

2006-01-08 16:54:02 !刘世伟
备份目录，按年，月，日自动开3级目录，每个目录底部是整个的一个需要备份的目录树。

2006-01-08 16:54:20 eastos
linux做域服务器？

2006-01-08 16:54:57 !刘世伟
linux可以把多个相同的文件做硬联接。

2006-01-08 16:55:42 !刘世伟
这样，我们的整个需要备份的目录树体积是300G，但每天变化的文件大约200M.
备份时，我们还忽略掉大于50M的文件，以及avi,mp3,iso,rm,其实，我们用了一个160G的硬盘，可以做60天的每日完整备份。

2006-01-08 16:56:31 !刘世伟
我们公司用linux做域服务器2年多了。

2006-01-08 16:57:03 eastos
你是指用Linux代替DC？

2006-01-08 16:57:19 !刘世伟
BDC PDC都可以代替，

2006-01-08 16:57:38 !刘世伟
我主要看中的是域的帐号的管理和帐号漫游。

2006-01-08 16:58:28 eastos
你用的哪个Linux的发行版

2006-01-08 16:58:39 !刘世伟
都可以。没有区别，我用debian。

2006-01-08 16:59:51 !刘世伟
linux做的域服务器，跟一般的域服务器的灵活的地方:
1.域设置是文本文件，容易移植。
2.针对不同的客户端ip可以inclide不同的设置。
3.针对不同的用户和组，可以有不同的域服务器设置
4.同一个共享名，对不同的用户，可以指向不同的目录。

2006-01-08 17:00:44 eastos
像是组策略之类的怎么处理呢
2006-01-08 17:01:39 !刘世伟
组策略有，但是我没有用到，也就没有研究它。

2006-01-08 17:02:52 eastos
你是说\\server\share对A用户可以指向/usr/a，对B用户可以指向/usr/b ?

2006-01-08 17:03:13 !刘世伟
对，你说的对。
比如，同样是mydocs的共享名，可以指向 /home/$g/$U
这样，财务组的人a上来,就是 /home/caiwuzu/a

2006-01-08 17:03:33 eastos
good, 真的是好东西
还有个问题，虚拟的PDC和Windows的DC互操作性怎样？

2006-01-08 17:04:28 !刘世伟
BDC可以通过PDC进行用户身份认证
然后BDC可以自动在自己的机器上面建立这个linux下的系统帐号

2006-01-08 17:05:14 eastos
就是说可以同步用户帐号

2006-01-08 17:05:33 !刘世伟
在windows下的帐号，在linux下都有一个对应帐号，代表它在linux下的文件的权限。

windows的用户，可以在自己的windows的修改密码界面上面修改linux下用户的密码。

这样。我在linux下，还开放了ftp,跟用户的域帐号是统一的。

2006-01-08 17:06:50 eastos
哪这样搞就不用买MS的Windows Server了 #C

2006-01-08 17:07:03 !刘世伟
当然了。
我没发现有什么需要还要用windows的server

我们的打印机也是在linux的域上面集中的存放。

小公司，做一个域服务器，挺好。

我们的域服务器，可以无盘启动，每台机器的c:都有一个ghost镜像。我们的网管，
只要会ghost以及会把机器加入域，就行了。
这个模式，应该适合小公司。

linux的域服务器+无盘启动+ghost
然后linux的域服务器，可以用于文件存放。我们的机器上面都用raid.

2006-01-08 17:14:32 eastos
你们的客户端一般是什么系统， XP？还有没有98的

2006-01-08 17:15:00 !刘世伟
xp或者win2000,不用98

公司的网关，是一台透明代理，自动的走http_proxy

在http_proxy上面，我设置过滤了所有的cab文件。
除了微软的升级和swf播放
顺手还过滤了mp3和rm和avi

垃圾邮件还不是很多，我们都跟员工说，不要向无关的人展示自己的邮件地址，
不要到论坛提交自己的电子邮件地址。
如其影响到客户的信件交流，多看几封垃圾邮件还是值得的，

具体是这样部署的:
默认封闭所有的联接。
只开放网关发起的对外的80，
在网关，架设http_proxy,
所有流经网关的80留量，自动灌到http_proxy
这样的功能。win下是没有的。
一方面，http_proxy加速访问。
另一方面，我可以留url访问日志。
再一方面，http_proxy在应用层进行url过滤。比路由器在ip层解码分析过滤要少占用cpu

这是http
对于dns，
我在网关架设了dns服务器,然后将所有流经本机的53的udp访问，灌到本机的dns,

这实现了，
1.dns加速。说真的，接入商的dns服务器太忙。
2.封QQ,因为QQ聪明的利用udp 53 ，靠封QQ的服务器ip的方式真的不行。
3.纠错，即使同事们设置了一个错误的dns地址，也可以用。

说了dns和http还有pop3 和 smtp
我们是把pop3和smtp留量强制灌到公司的服务器。

这样，即使他们设了个1.1.1.1的pop3收信地址，也保证可以收到自己的邮件。
其实这样挺省事。大家从来不因为dns,pop3,smtp的故障来烦我。

流量转移用的是iptables的REDIRECT

然后作为加密。我从网关到外网服务器架设了一个openvpn，我们的pop3,smtp就都走了加密通道了。

这样一个防护，对于一个公司来说，已经可以够用了。
如果有特殊需要，可以特殊的来开端口。
实际已经是一种网闸的模式了，就是所有的流量不直接跟外届交流，要通过http_proxy或者dns服务器在应用层进行中转。

倒是有些同事，在公司外面收不了信，因为它的pop3设置是错误的，在公司内部，网关会自动纠错，在家就不行了。

--
北京安恒公司刘世伟 2006-01-08 19:17
QQ:10202 MSN:shiwei@cfido.com SKYPE:liu_shiwei
... -= 用linux!远离病毒,漏洞和注册码! =- ...