實戰開源ClearOS打造全功能網絡服務器

■顧武雄

想要為中小企業IT 環境，打造一個全方位的私有云集成服務器不是一件容易的事，然而如今只要有了開放原始碼的ClearOS Community，一切都將變得相當簡單。它集合了各類系統模塊、應用模塊以及安全模塊于一身，因此想要在企業網絡中安裝一部兼顧云端應用與安全防護的服務器，ClearOS 會是你絕佳的選擇。本文將為大家講解此系統從安裝到活用的實戰經驗。

開源ClearOS 簡介

這款設計精良的Linux集成服務器就是ClearOS，此服務器可以同時作為企業網關主機，來防護內部網絡的訪問安全，又能夠同時提供諸如文件服務器、郵件服務器、網絡服務器、FTP 服務器、DNS 與DHCP 服務器等基礎應用需求，然而無論是哪一些系統的集成需要，全部都只要通過專屬的Web Console界面，來連接至ClearOS 的Marketplace 進行下載與自動安裝即可，截止目前為止可免費下載使用的模塊程序包約有75 套，在完成安裝后還可以針對需要的功能進行啟用，而針對那暫時不需要的功能則可以關閉。整體而言可以說設計的相當簡單與直覺化。

ClearOS 目前提供了免費的社群版(Community)以及付費的專業試用版(Professional)，讓有興趣的企業IT 可以自行下載測試。社群版適合10 人左右的中小型企業，至于專業版則適合1000 以上的大型企業。此外在專業版中除了提供了原廠的技術支持外，還額外提供了許多付費集成程序包的功能，例如Active Directory 連接器(需額外付費)、遠程服務器備份、防垃圾郵件程序包更新、防惡意程序程序包更新等等。

本文將以介紹免費的ClearOS Community 版 本實戰為例，您可以到以下官方網站進行下載。在這個下載網站頁面中，可以進一步選擇點擊下載一般ISO安裝鍵，或是專屬VMware、VirtualBox 以 及Virtual PC 的虛擬機文件。

最新ClearOS Community下載網址：

ClearOS 網絡設置

接下來進行一連串的ClearOS 服務器安裝操作。將所下載的ISO 安裝文件刻錄成光盤片，然后在實體主機上進行開機安裝，或是直接以ISO 文件掛載在虛擬機上來完成安裝也是可以的。

在ClearOS Community 6.4.0 的開機主選單中請直接以默認的“Install or upgrade an existing system”選項，按下“Enter”鍵開始安裝。

接著將會開啟ClearOS Community 首頁。點擊“Next”繼續。

接著您可以選擇所喜好的安裝界面語言。在“請選擇系統的鍵盤”頁面中，則選取默認的“美式英文”即可。點擊“下一步”。在存儲設備類型選擇頁面中，在此筆者以選擇“基本存儲設備”為例。點擊“下一步”。

接著可能會出現“存儲設備警告”信息頁面，如果確認此存儲設備沒有存放重要的數據，并且要交由ClearOS 的系統來完全使用，點擊“是，放棄數據”按鈕繼續。完成主機名命的設置，建議您輸入完整的域名格式(FQDN)。然后點擊“設置網絡”按鈕繼續。

在“網絡連接”頁面中，可以看到目前在此主機上所偵測到的網卡。由于筆者打算用它來做為企業邊際防火墻以及VPN 網絡的服務器，因此準備了兩片網卡，以作為內外網絡的網關器。點擊“編輯”按鈕來陸續完成各自網絡配置的配置。

在開啟網卡設置頁面之后，首先將“自動連接”項勾選。然后點擊至“IPv4 設置”的子頁面。接著將“方法”設置為“手動”，并且完成IP地址、Netmask、Gateway、DNS服務器、搜索網域等設置即可。點擊“應用”。在“時區”的頁面中，選取服務器所屬的城市，以符合當地時間的配置。點擊“下一步”。

在密碼設置的頁面中，輸入兩次的系統默認root 帳戶密碼。

請務必牢記此系統管理員帳戶密碼，以作為后續服務器系統管理使用。

ClearOS 磁盤配置

在安裝類型的頁面中，可以選擇磁盤分區所要采用的安裝方式。如果僅有一個硬盤，建議您可以選擇“使用所有空間”。如果已準備兩個以上的硬盤，并且打算來建構Linux 軟件式的RAID 容錯架構，選取“創建自定義分割格式”。點擊“下一步”。

在數據存儲設備的頁面中，可以將所有準備要用來配置給ClearOS 使用的磁盤機，選取至右方窗口中。點擊“下一步”。默認選擇“使用所有空間”設置后，所會創建的分區規劃方式。如果可以接受此配置請點擊“下一步”，否則可以點擊“刪除”與“創建”來手動創建所需要的分區。

在此建議您可以準備的兩個硬盤，并且分別完成RAID 分區的創建。

在“創建存儲區”的頁面中，請選取“RAID”分區。點擊“創建”。在“添加分區”頁面中，可以選取目前可使用的磁盤機，然后輸入要使用的分區大小值或直接選擇“填滿分區可使用的最大值”。

請注意！后續所要加入RAID 的磁盤機設置都必須采用相同設置。

點擊“確定”。

在“創建存儲區”頁面中，選取“RAID 設備”項。點擊“創建”。在“創建RAID 設備”頁面中，將所有要成為此RAID 成員的磁盤項勾選，然后將文件系統掛載點擊擇“/”，以及將RAID 類型選擇為RAID 1。如果您有三個以上RAID 磁盤分區，則可以考慮選擇RAID 5 來做為磁盤數組類型。點擊“確定”。

回到磁盤分區的檢視頁面，可以看到目前所創建的RAID 設備。接著可以選定安裝開機加載程序的磁盤，必要的話還可以使用開機加載程序密碼。點擊“下一步”。在成功完成了ClearOS 的安裝后，點擊“重新啟動”按鈕。

圖1 ClearOS 控制臺頁面

在ClearOS 安裝成功與重新啟動后，將會開啟如圖1 所示的顯示頁面。在此已提示我們管理網站的連接網址與埠口。

后續如果要在此Console 進行相關配置，可以點擊左下角的“Go to the command line”。

網絡配置

在完成了ClearOS 的安裝與啟動后，我們便可以在同網絡的其它計算機上，開啟瀏覽器連接到Console 端所提示的URL，接著將會自動開啟安裝設置向導，通過此向導的快速設置將可以完成網絡架構的確認、安裝版本的選擇和集成程序包的下載與安裝等等。點擊“Next”。

在“Network Mode”頁面中，請選擇所要架構的服務器網絡模式，分別有網關模式(Gateway Mode)、私有服務器模式(Private Server Mode)、公用服務器模式(Public Server Mode)。如果打算讓服務器同時提供對內與對外的連接服務，這包括了文件共享、VPN 服務、網站服務以及電子郵件服務，建議選取“Gateway Mode”。點擊“Next”。

在“NetworkInterfaces”頁面中，您可以自定義內部網卡(LAN)與外部網卡(External)的IP 配置設置，只要點擊“Edit”便可以進行修改。完成修改后點擊“Next”。

在“DNS Servers”頁面中，可以最多設置四筆DNS服務器的查詢連接。一般來說如果企業內部有架設自己的DNS 服務器，便會優先設置在第一筆字段中，至于外部的DNS 服務器則會設置在后面的字段中。點擊“Next”。

在“Select Edition”頁面中，可以挑選所要安裝的ClearOS 版本。在此我們以選取“Install ClearOS Community”為例。未來如果想要嘗試更完整功能的ClearOS，可以試試安裝Professional 版本。點擊“Next”。在“Software Update”頁面中，可以進行整個ClearOS 程序最新版本的更新。在此頁面的清單中，可以檢視到所有可用的最新核心程序包的版本信息。成功完成整體更新后點擊“Next”繼續。

1.2.2 染色體核型分析 采用G顯帶制備技術對臍血及外周血進行常規G顯帶(500～550條帶)檢測。

在“System Registration”頁面中，必須先點擊“Create Account”按鈕來創建一個登記用的賬戶。然后再回到此頁面，完成相關注冊信息的填寫并點擊“Register System”即可。如此一來后續才能夠在此管理界面中，直接進行其它集成程序包的下載與安裝。

在“Internet Domain”頁面中請輸入Internet 域名，而非內網的域名。不過有一些公司內網與外網的域名皆是一樣的，如此并不會影響后續客戶的正常訪問。點擊“Next”。

在“Hostname”頁 面中，請設置主機名以及網際網絡的主機名。在此建議您可以輸入相同的完整域名(FQDN)，例如：clearos.lab01.com，以方便其他人的簡單訪問。點擊“Next”。

在“Data and Time”頁面中，請正確設置服務器目前所屬的時區，并且將自動同步(Automatic Synchronize) 功能設置為“Enable”。此外您也可以立即手動進行時間的同步，只要點擊“Synchronize Now”即可。點擊“Next”繼續。

入門設置

圖2 已選擇程序包列表

在“Getting Started”頁面中，我們將準備進入到針對ClearOS Community 版本的應用程序包下載。點擊“Next”。在程序包列表頁面中，便可以通過翻頁功能，連續選取所要下載與安裝的集成程序包。

在如圖2所示的“App Install List”頁面中，便是筆者已經選取的應用程序程序包列表。可以發現這一些集成程序包全部都是免費的。點擊“Download and Install”按鈕開始下載與安裝即可。一旦完成了各項所需功能的程序包安裝后，后續我們便可以對于不同的程序包功能，來決定是否要立即啟用或關閉，并且可以隨時在ClearOS 管理界面中來完成各程序包的配置。

在完成了ClearOS 安裝后的初始化設置與應用程序程序包的安裝后，接下來我們可以回到儀表板首頁。在此我們可以檢視各類硬件資源的效能運作報告，在未來我們還可以自行加入更多同樣是免費的進階效能報告程序包，例如存儲空間數據的訪問報告、帶寬使用的分析報告等等。

關于ClearOS 的維護操作，當需要重新啟動或關閉系統時，您除了可以經由主機端的命令控制面板來完成操作外，也可以直接在此網站中點擊“Shutdown”或“Restart”按鈕，來完成關機或重新啟動的操作。

賬戶管理

接下來要學習關于ClearOS 在賬戶管理的操作。

在“Directory Server”頁面中，輸入域名以及選擇發布的政策。點擊“Initialize”按鈕即可。執行后將可以檢視到目前目錄服務的執行模式、連接信息以及默認客戶、組以及計算器的存放容器。后續我們將創建與管理所有的網域客戶與組在此目錄架構下。

接著可以開始來添加賬戶與組了。點擊至“System”→“Account”→“U sers”頁面。在默認的狀態下并沒有任何的賬戶。

點擊“Add”按鈕。在“User”頁面中，便是添加客戶的設置頁面。在此除了需要完成客戶名稱與密碼的設置外，還需要設置應用程序的使用策略(App Policies)，例如您可以開放給這位客戶的賬戶，可以同時訪問Dropbox 以及FTP 的服務等等。最后您可以決定是否要為此客戶設置郵件別名(Mail Aliases)。點擊“Add”按鈕即可。

完成客戶的添加后，接下來可以管理組的配置。在“Group”的節點頁面中，除了可以讓添加自定義的組之外，也可以編輯系統默認的組，來將現有的賬戶加入到任一組之中。在此我們點擊位在“domain_admins”項的“Edit”按鈕。在“Group”頁面中，便是添加組的設置頁面。在此您可以自定義組的名稱、描述以及是否要顯示在通信組的列表之中。點擊“Add”完成新組的創建。

密碼策略管理

在完成了賬戶與組的創建之后，IT 部門為了嚴格控管賬戶安全，肯定是需要從密碼設置要求的管控上來下手。在“Account Manager”→“Password Policies”節點頁面中，可以看到系統目前默認的密碼策略配置，分別有最小密碼長度、密碼修改的最短時間、密碼的過期時間、密碼歷程記錄相同的限制筆數，以及是否要在密碼連續錯誤后鎖定帳戶。可以點擊“Edit”按鈕進行修改。

關于用戶若想要隨時修改自己的帳戶密碼，只要在登錄公司的ClearOS 網站之后，開啟“User Profile”頁面，便可以進行密碼的修改。點擊“Update”完成更新。

創建VPN 網絡

在此筆者已經預安裝好了一個PPTP 的簡易型VPN程序包程序。如果您想要建構安全性更高的VPN 網絡連接，則可以考慮下載與安裝OpenVPN 的程序包程序。

在第一次點擊至PPTP Server 節點頁面時，可以看到紅色的警告信息，主要是告知我們目前此連接已經被防火墻所擋住，點擊“Allow Connections”按鈕即可。緊接著來到PPTP Server 設置頁面，在此必須配置內部網絡要使用IP 地址范圍(Local IP Range)，以及遠程用戶計算器連接所要自動配置的IP 地址范圍(Remote IP Range)。接著再輸入所要自動設置的DNS Server與Windows Server(可 省略) 的IP 地址即可。點擊“Update”完成設置更新。

在完成了ClearOS 的PPTP Server 程序包的設置后，接下來我們可以嘗試找一臺遠程的Windows 計算器來進行VPN 連接試試看。首先開啟“網絡和共享中心”頁面后，點擊“設置新的連接或網絡”連接繼續。接著在“選擇連接選項”頁面中，選取“連接到工作地點”項。點擊“下一步”。在“你要如何連接”的頁面中，點擊“使用我的網際網絡連接(VPN)”。在“輸入要連接的互聯網地址”的頁面中，輸入ClearOS 主機的外部IP 地址在“互聯網地址”字段中，然后輸入一個目的地名稱(可輸入中文)。最后您可以將“不要立即連接先設置好，我稍后再連接”設定項勾選。點擊“下一步”。

接著輸入準備連接的用戶名稱和密碼。網域字段可以省略。點擊“連接”。

此時Windows 計算器將會開始嘗試VPN 網絡連接。點擊“跳過”。回到“網絡連接”頁面后，選取剛剛所創建的VPN 連接圖標，然后按下鼠標右鍵點擊“屬性”。

在“安全性”頁面中，建議請先將VPN 類型直接設置為“點對點通道通信協議PPTP”。然后將數據加密設置為“可省略加密”。

最 后 將“Challenge Handshake 驗證通信協議(CHAP)”及“Microsoft CHAP版本2(MS CHAP v2)”勾選。點擊“確定”完成設置。完成了VPN 網絡的連接修改后，就可以開啟VPN 網絡連接登錄頁面了。

請正確輸入ClearOS 主機的客戶名稱及密碼。點擊“連接”進行遠程登錄即可。

在成功完成VPN 網絡的連接之后，可以針對此連接按下鼠標右鍵點擊“狀態”，來檢視“詳細數據”頁面。從這里可以檢視到目前所使用的通信協議、驗證與加密方式、客戶端與伺服端的IP地址，以及所連接的VPN 網絡的目的地地址。

設置郵件服務器

圖3 啟用IMAP 與POP3

電子郵件(Email)肯定也是一項不能夠或缺的重要服務。如圖3 所示在此已看到筆者所安裝的“IMAP and POP Server”程序包。在默認的狀態下，可以發現系統僅有Secure IMAP 與Secure POP 以及Push E-mail 功 能有啟用。您可以點擊“Edit”進行修改。

在“IMAPandPOP Server”設置頁面中，我們可以再特別將未加密的IMAP 與POP 連接功能啟用(Enable)，如此一來一般傳統的連接便可以繼續使用。至于其中的Push E-mail 功能，則是一項主動通知來信的功能，可結合在像是平板計算器與智能型手機的連接。回到上一個畫面后，可以點擊“Edit Members”按鈕，來設置能夠使用此服務的客戶名單。

有了IMAP 與POP 的信箱服務，還必須加上必備的SMTP 收發郵件的服務，如此才能算是一個基本的Email系統。在“SMTP Server”的頁面中，可以看到目前此服務所使用的Email 網域、主機名以及限制收發的郵件大小。其中Relay Host 字段大部分情況下應該是保持空白，只有在需要交由另一部SMTP 主機發信時才需要設置。

完成了IMAP 與POP 以及SMTP Server 的設置后，接下來我們可以嘗試通過一部Windows 客戶端來進行連接以及收發Email。在此以Windows Live Mail 作為示范。添加一個賬戶，然后在“選擇賬戶類型”頁面中選取“電子郵件帳戶”并點擊“下一步”繼續。

在“添加電子郵件帳戶”頁面中，輸入電子郵件地址、密碼、顯示名稱并且勾選“手動設置服務器設置”項，點擊“下一步”。在“設置服務器設置”頁面中，可選擇“服務器類型”為POP或IMAP，然后設置服務器地址以及端口，如果要采用SSL安全連接，需將“需要安全連接(SSL)”勾選。

最后勾選“需要驗證”以及設置使用“純文本”進行驗證。輸入“登錄客戶名稱”并點擊“下一步”繼續完成配置即可。在成功連接登錄后，便可以嘗試進行對內與對外的郵件收發。

郵件通知配置

有了SMTP Server 服務在系統的運作后，除了可以提供客戶信箱的郵件收發外，還可以善用它來自動發送一些系統的E-mail 通知，讓管理員可以在第一時間掌握系統的狀態。

此外有了郵箱的服務之后，還必須考慮到客戶收發Email 的安全性，其中最常見的就是中毒的問題。

為此我們需要在ClearOS 系統上加裝Email惡意程序的掃描程序包，如此才能夠防范可能的惡意程序蔓延在郵件信箱中。

首先到“Settings”→“M ail Setting”頁面中，在此可以通過點擊“Edit”按鈕來設置郵件的Internet 域名。完成郵件網域的設置后，在“Mail Notification”頁面中，必須完成SMTP Server連接的設置。

分別輸入SMTP Server的主機名或IP 地址以及通信端口、是否啟用加密連接、連接的客戶名稱、發件人的Email 地址。完成設置與更新之后，點擊“Test”按鈕來測試一下發信是否能夠成功。

測試郵件發送

圖4 RAID 5 運行狀態通知

如果您當初在安裝ClearOS 系統的時候，有配置軟件式的RAID 數組設置，便可以通 過“Software RAID Manager”程序包的安裝，來設置磁盤數組狀態的運作報告通知。在此您只要先將“Monitor RAID”設置為“Enabled”，然后再設置自動通知的頻率以及收件者的E-mail 地址即可。

如圖4 所示便是一封由RAID 監視程序包所發送的狀態報告通知。在此如果“Status”字段顯示為“Clean”，即表示目前的運行狀態是正常的。

防毒功能設置

接下來要進入關于郵件防毒程序包的設置。點擊至“Mail”→“Mail Antivirus”頁面。先點擊“Edit”按鈕，來修改一般病毒郵件的策略設置。

在“Mail Policies”頁面中，首先可以決定對于所偵測到的病毒郵件的處理策略，例如您可以設置為“Discard”來自動移除惡意的郵件。

接著則是可以分別設置對于有問題的標頭郵件與禁止的擴展名策略，其中禁止的擴展名清單必須先行完成設置才可以。完成設置點擊“Update”。

接著開啟有關于網關防毒的相關設置。在壓縮文件掃毒策略的設置部分，可以自定義包括了是否禁止加密文件的發送、ZIP 文件所包含的文件數量上限、ZIP 文件的大小上限、ZIP 壓縮文件的級別數量上限以及更新的頻率。

最后則是可以設置相關的安全檢測引擎是否要啟用，這包括了簽章檢測的引擎、啟發式引擎、SSL 連接匹配檢驗引擎以及隱匿式URL的檢測引擎。

病毒文件測試

前面我們有曾提到關于Email 的病毒偵測程序包，它雖然可以解決Email 病毒的過濾問題，但卻無法防范來自文件共享的病毒問題。因此，我們還必在ClearOS 主機上加裝一個專門掃描一般文件病毒的掃毒程序包。

在此筆者加裝了一個名 為“Antimalware File Scan”的掃毒程序包。如果要立即進行本地文件的病毒安全檢測，點擊“Start”即可。如果想要進行細部的配置設置，點擊“Settings”繼續。

您可以在掃毒程序包的設置頁面中點擊“Edit”按鈕，來進一步修改定期掃毒的排程時間、自動E-mail 通知的類型、所要掃描的活頁夾位置(包括了家目錄、文件共享位置、網站、FTP 以及E-mail)。最后在掃毒的結果頁面中，將會顯示已感染病毒的文件位置，以及病毒的相關名稱與信息。

文件共享服務設置

既然是一部集成性的多功能服務器，那么肯定少不了同時扮演文件服務器的角色，以提供從內到外的信息訪問內容。

在此筆者已經安裝了一個相當棒的文件共享服務程序包，名為“Flexshare”。

通過此頁面您可以自定義所要加入的共享名稱、Windows 的文件共享位置、權限設置以及決定是否同時開放FTP 的連接訪問。

完成了共享的創建后，后續客戶除了可以直接經由內部網絡的連接來進行訪問之外，也可通過FTP 的連接來完成遠程的訪問。

例如，使用FileZilla FTP Client 來進行登錄存取。

結論

相信只要您實際使用過ClearOS 就會很快愛上它的簡單、彈性以及強大的集成管理功能。別說在開放原始碼的世界中很難找到同等級的解決方案，就算是在付費的服務器系統當中也很難找到這類的產品。然而ClearOS 之所以非常適用在小型企業的IT 環境中，主要也是因為它集合了多功能于一身，并且有著直覺化的Web 友善界面，讓即便不是Linux 的專業IT 人員都可以輕松上手。