00020_BaseInstall

1. 基础软件包安装

在 Linux 发行版安装完毕后,并且将群英汇软件包的升级源加入到系统的升级源列表中后,就可以进行基础软件包的安装了。

基础软件包的安装涵盖的内容有:

  • Linux 常用软件包安装和定制;

  • Web服务器相关软件包

  • 邮件相关软件包

  • 安全相关软件包

  • 备份相关软件包

相关软件包列表:

类别

软件包名称

说明

Linux 定制软件包

ossxp-linux-base

必选。Linux常用软件包及其定制

ossxp-linux-devel

服务器不推荐。Linux 软件开发依赖包

ossxp-linux-desktop-core

服务器不推荐。为 Linux 桌面包所依赖

ossxp-linux-desktop-light

服务器不推荐。Linux轻量级桌面。针对轻量级桌面工作站

ossxp-linux-desktop-heavy

服务器不推荐。Linux重量级桌面。只针对工作站,而不要在服务器上安装

ossxp-linux-fonts

可选。中文字体

网站CA证书

ossxp-ssl-moon-ossxp-com

可选。群英汇CA签名的证书,供本机测试

ossxp-ssl-foo-bar

可选。群英汇CA签名的证书,供测试

应用定制,改进及增强

ossxp-apache2

必选。Web服务器增强

ossxp-php5

可选。PHP脚本引擎

ossxp-ntp

推荐。时间服务器改进

ossxp-maradns

可选。DNS服务器改进

数据备份

ossxp-backup

必选。软件备份工具

安全相关

ossxp-secure-basic

必选

ossxp-secure-opensesame

可选。芝麻开门 —— ssh 等端口动态激活

ossxp-secure-fail2ban 

可选。防范暴力口令破解攻击

ossxp-secure-bastille 

可选。堡垒主机

ossxp-secure-fw-firestarter

可选。带有图形配置界面的防火墙,适用于工作站

ossxp-secure-fw-shorewall

服务器必选。基于配置文件的Linux防火墙,适用于服务器

邮件系统相关

ossxp-mail-base

必选。邮件系统定制

ossxp-mail-ldap

可选。基于 LDAP 认证的 SMTP 配置

ossxp-mail-dovecot

可选。POP3 和 IMAP 服务器

ossxp-mail-dovecot-file

可选。基于文件认证的 POP3/IMAP

ossxp-mail-dovecot-ldap

可选。基于LDAP认证的 POP3/IMAP

1.1. Linux 定制软件包

软件包 ossxp-linux-base 是最重要的定制包之一,安装完毕后,有两个文件最为重要:

1.1.1. /opt/ossxp/install/base.py

这个脚本完成基本 Linux 软件包安装工作,并完成对重要配置文件的定制。

  • 执行安装 

    • $ cd /opt/ossxp/install/
$ sudo ./base.py install

  • 对系统文件进行定制 

    • $ cd /opt/ossxp/install/
$ sudo ./base.py config

1.1.2. /opt/ossxp/bin/ossxp_pkgadmin.py

这个脚本能够提交群英汇各个软件包的配置信息,能够实现:

  1. 汇总各个软件包需要备份的文件和目录列表,提供给备份工具作为备份列表。 

    • $ sudo /opt/ossxp/bin/ossxp_pkgadmin.py list_backup

  2. 将群英汇各个软件包的配置文件中需要改动的内容以宏的方式提取出来 

    • $ sudo su
# /opt/ossxp/bin/ossxp_pkgadmin.py extract_macros > /etc/ossxp/packages/macros

  3. 打开文件 /etc/ossxp/packages/macros,对其进行编辑。

  4. 根据宏文件 /etc/ossxp/packages/macros 的设置,自动修改群英汇各个软件包的配置文件。遇到需要修改保存的文件,显示文件的 differ,如果用户输入 y,则对文件进行修改,如果输入 n,则放弃修改。 

    • $ sudo /opt/ossxp/bin/ossxp_pkgadmin.py change_config_files

每次有新软件包安装或者执行 ossxp_pkgadmin.py change_config_files 报告有变量未定义的错误时,重复执行上述 2-4 步骤。

1.2. 网站证书

  • 客户会获得一个定制的,名为 ossxp-ssl-<ClientID> 的软件包,内含群英汇签名的网站证书

  • 自动建立符号链接 /opt/ossxp/ssl/certs/mydomain,指向第一个安装的 ossxp-ssl-* 软件包。如果用户安装了多个 ossxp-ssl-* 软件包,可能需要手动调整链接,指向正确的目录。 

    • $ ls -l /opt/ossxp/ssl/certs/mydomain
lrwxrwxrwx 1 root root 35  9月  3 20:02 /opt/ossxp/ssl/certs/mydomain -> /opt/ossxp/ssl/certs/moon.ossxp.com

  • 群英汇签名公钥位于目录 /opt/ossxp/ssl/ca/ 下。可以通过 URL: http://your.server.name/ssl 访问到

如果使用 https 服务(例如安装了群英汇单点登录服务),建议在网页的明显位置提示用户安装群英汇公钥,以实现对 https 网站的自动信任。即用户点击 http://your.server.name/ssl 地址下的公钥文件,浏览器会自动进行公钥安装。

1.3. 应用定制

ossxp-apache2 和 ossxp-php5 软件包包含了群英汇自定义配置和改进,会被相关应用自动依赖。

ossxp-ntp 解决了 NTP 服务在第一次时钟同步时,可能由于时间向后调整,导致其他软件如 dovecot 异常退出。

1.4. 数据备份

参见 存储可靠性、数据备份和恢复

1.5. 安全相关

参见 构建安全的服务器平台

1.6. 邮件系统相关

安装 ossxp-mail-base 完毕后,以 root 身份执行 /opt/ossxp/bin/exim4-config 脚本,完成对 exim4 服务的定制。 

  • $ sudo /opt/ossxp/bin/exim4-config

下列目录包含邮件系统的更多配置示例,可以根据需要各取所需:

  • /opt/ossxp/examples/dovecot/

  • /opt/ossxp/examples/exim4/