linux服務(wù)器配置.ppt

服務(wù)器服務(wù)配置,主講人：吳萬(wàn)臣,Samba服務(wù)器,Samba 在linux和windows兩大平臺(tái)之間相互共享，文件傳輸?shù)取?應(yīng)用環(huán)境： 1.文件和打印機(jī)共享 2.身份驗(yàn)證和權(quán)限設(shè)置 3.瀏覽服務(wù) 4.名稱解析,工作原理： 1.協(xié)議協(xié)商 客戶端發(fā)送negport數(shù)據(jù)包，告知目標(biāo)支持的SMB類型，samba服務(wù)器選擇最優(yōu)SMB 2.建立連接 客戶端發(fā)送session指令，提交賬號(hào)和密碼 請(qǐng)求建立連接。服務(wù)器為其提供UID，供通信時(shí)使用,3.訪問(wèn)共享資源 訪問(wèn)共享資源時(shí)，發(fā)送tree connect指令數(shù)據(jù)包，samba服務(wù)器為每個(gè)客戶端與共享資源的連接分配TID 4.斷開(kāi)連接 共享使用完畢，客戶端向服務(wù)器發(fā)送tree disconnect報(bào)文關(guān)閉共享，與服務(wù)器斷開(kāi)連接,Samba相關(guān)進(jìn)程 1.Nmbd：其功能是進(jìn)行netbios名解析，并提供瀏覽服務(wù)顯示網(wǎng)絡(luò)上的共享資源列表 2.Smbd：主要功能是用來(lái)管理samba服務(wù)器上的共享目錄，打印機(jī)等。,安裝samba服務(wù) Samba服務(wù)需要以下幾個(gè)軟件包 1.samba-3.0.23c-2.i386.rpm Samba服務(wù)的主程序（第二張RHEL5光盤(pán)) 2.samba-client-3.0.23c-2 Samba的客戶端工具（第一張RHEL5光盤(pán)),3.samba-common-3.0.23c-2 （第一張RHEL5光盤(pán)) 該包存放的是通用的工具和庫(kù)文件。 4.system-config-samba （第三張RHEL5光盤(pán)) Samba圖形化管理工具,Samba軟件的安裝 檢測(cè)系統(tǒng)是否安裝了samba軟件包 rpm qa|grep samba 安裝所需的軟件包 rpm ivh samba-3.0.23c-2.i386.rpm,Samba服務(wù)器搭建流程 1.編輯主配置文件smb.conf，指定需要共享的目錄，為共享目錄設(shè)置共享權(quán)限 2.在smb.conf文件中指定日志文件名稱和存放目錄 3.設(shè)置共享目錄的本地系統(tǒng)權(quán)限 4.重新啟動(dòng)服務(wù)或加載配置文件，使配置生效,1.主配置文件 Vi /etc/samba/smb.conf 1.將workgroup=mygroup改為workgroup=workgroup 2.將host allow前的“；”去掉，將允許訪問(wèn)此服務(wù)器的一臺(tái)PC或一個(gè)網(wǎng)段，卸載“=”后面 Hosts allow = 172.16.11. ,3.設(shè)置samba服務(wù)器的安全模式 share,user,server,domain,ads 5種安全模式。 Share安全模式 客戶端登錄samba服務(wù)器，不需要用戶名和密碼。 User安全模式 需要提交用戶名和密碼，默認(rèn)為user模式 Server安全模式 客戶端需要將用戶名和密碼,提交到指定的一臺(tái)samba服務(wù)器上驗(yàn)證。 Domain 安全模式 服務(wù)器加入到windows域環(huán)境中，驗(yàn)證工作由windows域控制器負(fù)責(zé)。 Ads安全模式 服務(wù)器加入到windows域環(huán)境中，其含有domain級(jí)別中的所有功能，并可以具備域控制器的功能。 在smb.conf中，security=user,z,4.設(shè)置共享目錄 1)設(shè)置共享名 共享名 2)共享資源描述 comment = 注釋信息 3)共享路徑 path = 完整路徑 4)設(shè)置匿名訪問(wèn) public = yes / no 5)設(shè)置訪問(wèn)用戶 valid users = 用戶名 6)設(shè)置目錄只讀 readonly = yes / no 7)設(shè)置目錄可寫(xiě) writable = yes / no,例： share Comment = gongxiang Path = /share/tools Public = yes Valid = boss Readonly = yes Writable = yes,2.Samba日志文件 /var/log/samba 存放著客戶端網(wǎng)絡(luò)訪問(wèn)服務(wù)器的相關(guān)日志 ls /var/log/samba 3.Samba服務(wù)密碼文件 /etc/samba/smbpasswd 用戶名和密碼存放在smbpasswd文件中,建立samba賬號(hào) Smbpasswd a 賬號(hào) Samba賬號(hào)不能夠直接建立，需要建立linux同名系統(tǒng)賬號(hào) 例： useradd liu smbpasswd a liu 使用cat /etc/samba/smbpasswd查看smbpasswd下的賬號(hào),4.Samba服務(wù)啟動(dòng)與停止 1) 啟動(dòng)服務(wù) Service smb start 或 /etc/rc.d/init.d/smb start 2) 停止服務(wù) Service smb stop 或 /etc/rc.d/init.d/smb stop,3)重新啟動(dòng)服務(wù) Service smb restart 或 /etc/rc.d/init.d/smb restart 4)服務(wù)配置重新加載 Service smb reload 或 /etc/rc.d/init.d/smb reload *在linux服務(wù)中，更改配置文件后，一定要記得重啟服務(wù)，讓服務(wù)重新加載，才能生效,5.客戶端訪問(wèn)samba服務(wù)器 1)Windows客戶端訪問(wèn)samba服務(wù)器 在開(kāi)始運(yùn)行 輸入samba服務(wù)器的IP地址 2)Linux客戶端訪問(wèn)samba服務(wù)器 1.使用mount將共享目錄掛載本地 mount t cifs /samba服務(wù)器IP地址/共享目錄名 掛載點(diǎn) o username=用戶名,2.使用smbclient命令 先確保samba-client安裝 Smbclient L samba服務(wù)器IP地址 U 登錄用戶名%密碼,5.自動(dòng)加載samba服務(wù) 1)Chkconfig Chkconfig level 3 smb on/off 運(yùn)行級(jí)別3自動(dòng)加載或不加載 2)Ntsysv 利用文本圖形界面對(duì)smb自動(dòng)加載進(jìn)行配置,Samba高級(jí)服務(wù)器配置 1.用戶賬號(hào)映射 Samba服務(wù)器的賬號(hào)必須對(duì)應(yīng)一個(gè)同名的系統(tǒng)賬號(hào)，這對(duì)服務(wù)器來(lái)說(shuō)并不安全。建議使用虛擬賬號(hào)。 1）編輯smb.conf Vi /etc/samba/smb.conf 在global下添加一行字段,global Username map = /etc/samba/smbusers 開(kāi)啟用戶賬號(hào)映射功能 2)編輯smbusers Vi /etc/samba/smbusers 打開(kāi)smbusers文件后，添加賬號(hào)映射關(guān)系 Liu = kuaile happy Liu為本地賬號(hào)，kuaile ,happy為虛擬賬號(hào),3)重新啟動(dòng)samba服務(wù) Service smb restart 2.客戶端訪問(wèn)控制 Valid users = 用戶名 Valid users = 組名 Valid字段 無(wú)法限制客戶端訪問(wèn)控制 1)Hosts allow和hosts deny Vi /etc/samba/smb.conf,修改服務(wù)器的安全模式為 share 在共享目錄中或global下輸入下列字段 Hosts deny = 172.16. 192.168.1. Hosts allow = 0 當(dāng)deny和allow字段中同時(shí)出現(xiàn)同一網(wǎng)段IP地址，hosts allow優(yōu)先 2）使用域名限制 Hosts deny = . .net free 拒絕.域和.net域以及主機(jī)free的客戶端,* hosts deny和hosts allow兩個(gè)字段可以設(shè)置在global里，表示對(duì)samba服務(wù)器生效，如果設(shè)置在目錄下，則表示只對(duì)單一目錄生效,3.Samba的隱藏共享 browseable = yes 不隱藏目錄 browseable = no 隱藏目錄 可以為特殊用戶獨(dú)立配置文件 1.cd /etc/samba 2.cp smb.conf smb.conf.用戶名 3.vi smb.conf,global Config file = /etc/samba/smb.conf.%U 4.Vi smb.conf.用戶名 共享名 Path = /路徑 Browseable = yes /no,DHCP服務(wù)器,Dhcp Dhcp所需軟件包 1.dhcp-3.0.5-3.e15.i386.rpm DHCP主程序 2.dhcp-devel-3.0.5-3.e15.rpm DHCP服務(wù)器開(kāi)發(fā)工具軟件包，提供庫(kù)文件 3.dhcpv6-0.10-33.e15.i386.rpm DHCP的IPv6擴(kuò)展工具，使dhcp服務(wù)器支持ipv6 4.dhcpv6_client-0.10-33.e15.i386.rpm DHCP客戶端IPv6軟件包，幫助客戶端獲取動(dòng)態(tài)IP,Dhcp的安裝 1.檢測(cè)DHCP安裝包 rpm qa|grep dhcp 2.安裝軟件包 rpm ivh dhcp-3.0.5-3.e15.i386.rpm,DHCP服務(wù)器搭建流程 1.編輯主配置文件dhcpd.conf，指定IP作用域，指定分配一個(gè)或多個(gè)IP地址范圍。 2.建立租約數(shù)據(jù)庫(kù)文件 3.重新加載文件或重新啟動(dòng)服務(wù) ，使配置生效 * 通常情況下dhcpd.conf文件是不存在的，需要手動(dòng)建立該文件,1.編輯主配置文件 cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf 當(dāng)軟件包安裝好后，會(huì)自動(dòng)生成主配置文件的范本文件，可使用cp復(fù)制到/etc下配置 2.Vi /etc/dhcpd.conf (參數(shù)配置） 1）全局參數(shù) ddns-update-style none|interim|ad-hoc; 不支持，支持，特殊，DNS動(dòng)態(tài)更新,2.allow/ignore client-updates; 允許/忽略客戶端的動(dòng)態(tài)更新請(qǐng)求。 3.default-lease-time number(數(shù)字） 定義默認(rèn)的IP租約時(shí)間 （秒） default-lease-time 86400; 4.max-lease-time number(數(shù)字） 定義客戶端IP租約時(shí)間的最大值 max-lease-time 43200;,2)局部參數(shù) subnet 分配地址段 netmask 子網(wǎng)掩碼 range dynamic-bootp 起始IP地址 結(jié)束IP地址； option routers 默認(rèn)網(wǎng)關(guān) option subnet-mask 子網(wǎng)掩碼 option domain-name-servers DNS服務(wù)器的IP地址,綁定IP到某臺(tái)PC機(jī)上 host PC機(jī)名稱 hardware ehernet MAC地址； fixed-address 要分配的IP地址； 3.DHCP的啟動(dòng)與停止 Service dhcpd start Service dhcpd stop,4.自動(dòng)加載DHCP服務(wù) 1)Chkconfig命令 Chkconfig -level 3 dhcpd on 自動(dòng)加載 Chkconfig -level 3 dhcpd off 不自動(dòng)加載 2）ntsysv 使用ntsysv,利用文本圖形界面對(duì)dhcpd加載,DHCP高級(jí)配置 1.Dhcp多作用域 1) 在dhcp服務(wù)器上添加多塊網(wǎng)卡，每個(gè)網(wǎng)卡配置獨(dú)立的IP地址 2)編輯dhcpd.conf 在文件中編輯多個(gè)subnet ,每塊網(wǎng)卡對(duì)應(yīng)一個(gè)subnet. 3)重啟dhcp服務(wù),2.超級(jí)作用域 超級(jí)作用域可以將多個(gè)作用域組合為單個(gè)管理實(shí)體,進(jìn)行統(tǒng)一管理 編輯dhcpd.conf文件,固定格式如下 Shared-network 超級(jí)作用域名稱 subnet 子網(wǎng)號(hào) netmask 掩碼 參數(shù) 聲明 ,Dhcp中繼代理 可以跨越多個(gè)網(wǎng)段動(dòng)態(tài)分配IP地址 1）配置DHCP服務(wù)器 在dhcp 服務(wù)器上配置超級(jí)作用域 2）配置DHCP中繼代理 設(shè)置中繼代理的多個(gè)網(wǎng)卡地址 啟用中繼代理 dhcrelay DHCP服務(wù)器IP地址,Dhcp客戶端 1.Linux 客戶端 編輯網(wǎng)卡配置文件 Vi /etc/sysconfig/network-scripts/ifcfg-eth0 將BOOTPROTO = none修改為BOOTPROTO = dhcp 2.重新啟動(dòng)網(wǎng)卡或使用dhclient Ifdown eth0 Ifup eth0 或 dhclient eth0,DNS服務(wù)器配置,1.DNS所需軟件包 1）bind-9.3.3-7.e15.i386.rpm 該包為DNS服務(wù)的主程序包（第二張光盤(pán)） 2）bind-utils-9.3.3-7.e15.i386.rpm 客戶端工具（第一張光盤(pán)） 2.DNS的安裝 檢測(cè)DNS軟件包 rpm qa|grep bind,DNS復(fù)習(xí)知識(shí) DNS (domain name system) 定義了主機(jī)名稱與IP地址的對(duì)應(yīng)關(guān)系 DNS采用分散形式的數(shù)據(jù)存儲(chǔ)，將名稱解析信息分別存儲(chǔ)在不同的名稱服務(wù)器上，形成一個(gè)分布式數(shù)據(jù)庫(kù)。DNS采用層次邏輯結(jié)構(gòu) DNS的域分為根域，頂級(jí)域，二級(jí)域，子域。 并且域中包含主機(jī)和子域。,組織域 com net edu org gov 地理域 cn kr us jp 反向域 將IP映射到名字,3.DNS服務(wù)器搭建流程 1）建立主配置文件named.conf，該文件用來(lái)定義管理哪些區(qū)域,以及路徑 2）建立區(qū)域文件（正向區(qū)域，反向區(qū)域） 3）重新加載配置文件或啟動(dòng)服務(wù) 主配置文件 /var/named/chroot/etc/named.conf,Named.conf主配置分為整體和局部?jī)蓚€(gè)部分 整體配置 options 字段 字段值； ； 可選條件選擇語(yǔ)句，一般用來(lái)設(shè)置DNS服務(wù)器工作的目錄。,局部配置 zone “區(qū)域名“ type 區(qū)域類型； file 區(qū)域文件名； ； 區(qū)域名為服務(wù)器要管理區(qū)域的名稱，如 type 指定區(qū)域的類型，master主服務(wù)器，slave輔助DNS服務(wù)器，hint根域名服務(wù)器指定的線索區(qū)域 區(qū)域文件名屬于相對(duì)路徑，實(shí)際路徑 /var/named,例：vi /var/named/chroot/etc/named.conf options directory “/var/named”; ; /定義工作目錄 zone “0715.com” type master; file “0715.com.zone”; ; / 定義正向區(qū)域,zone “11.16.172.” type master; file “11.16.172.zone”; ; /定義反向區(qū)域 zone “.” type hint; file “named.ca”; ; /定義根區(qū)域,注意： 1.配置文件中的語(yǔ)句必須以”;”結(jié)尾 2.options條件語(yǔ)句必須用花括號(hào)，括起來(lái) 3.注釋符號(hào)可以用/，#以及/* */,資源記錄 區(qū)域文件實(shí)際上是DNS的數(shù)據(jù)庫(kù)，而資源記錄就是數(shù)據(jù)庫(kù)中的數(shù)據(jù)。這些數(shù)據(jù)包括多種記錄類型，如SOA，NS，A記錄等，如果沒(méi)有資源記錄，那么DNS服務(wù)器將無(wú)法為客戶端提供域名解析服務(wù)。 SOA資源記錄為起始授權(quán)機(jī)構(gòu)記錄，最重要，最常用的一種資源記錄。,SOA資源記錄的語(yǔ)法格式： 區(qū)域名 記錄類型 SOA 主域名服務(wù)器 管理員郵件地址 （序列號(hào) 刷新間隔 重試間隔 過(guò)期間隔 TTL） 例：0715.com. IN SOA . . ( 20081106 ；serial 21600 ；refresh 3600 ；retry 604800 ；expiry 86400；minimum ),NS記錄 用于指定一個(gè)區(qū)域的權(quán)威DNS服務(wù)器，能夠應(yīng)答區(qū)域內(nèi)所含名稱的查詢 NS資源記錄的語(yǔ)法格式： 區(qū)域名 IN NS 完整主機(jī)名 例： 0715.com IN NS ,例：正向區(qū)域文件 Vi /var/named/chroot/var/named/0715.com.zone $TTL 86400 IN SOA 0715.com. root.localhost. ( 20081106 ；serial 21600 ；refresh 3600 ；retry 604800 ；expiry 86400 ；minimum ) IN NS . IN A 5 www IN A 6 /A資源記錄 主機(jī)名解析IP地址,反向區(qū)域文件 Vi /var/named/chroot/var/named/11.16.172.zone $TTL 86400 IN SOA 0715.com. root.localhost. ( 20081106 ；serial 21600 ；refresh 3600 ；retry 604800 ；expiry 86400 ；minimum ) IN NS . 85 IN PTR . 86 IN PTR . /PTR 解析IP地址對(duì)應(yīng)的主機(jī)名,DNS的啟動(dòng)與停止 Servie named start Service named stop,DNS高級(jí)配置,1.輔助DNS 在輔助DNS上修改named.conf，添加如下 Zone “域名” type slave; masters 主服務(wù)器的IP地址； file “salves/主服務(wù)器區(qū)域文件名“； ；,注意：在配置區(qū)域復(fù)制時(shí)，首先關(guān)閉RHEL5的 SERHEL5功能，否則區(qū)域數(shù)據(jù)可能無(wú)法復(fù)制 vi /etc/seRHEL5/config SERHEL5 = disable 重新啟動(dòng)系統(tǒng)使配置生效,Sendmail服務(wù)器的配置,郵件系統(tǒng)工作原理 1)郵件功能組件 1.MUA 客戶端軟件 mailx outlook foxmail 2.MTA 服務(wù)器端軟件 sendmail postfix 3.MDA 服務(wù)器端代理軟件 2）郵件系統(tǒng) 1.郵件服務(wù)器 SMTP 郵件交換服務(wù)器 POP或IMAP 郵件接收服務(wù)器 2.郵箱 3.DNS郵件交換記錄 郵件服務(wù)器的位置的DNS記錄,1.Sendmail需要的軟件包 1）sendmail-8.13.8-2.e15.i386.rpm Sendmail的主程序包 2) sendmail-cf.8.13.8-2.e15.i386.rpm Sendmail的宏文件包 3）m4-1.4.5-3.e15.i386.rpm Sendmail宏過(guò)濾處理軟件包 4）dovecot-1.0-1.2.rc15.e15.i386.rpm 該包為接收郵件軟件,1.檢測(cè)軟件包 rpm qa|grep sendmail 2.相關(guān)配置文檔 1）sendmail.cf sendmail的核心配置文件 /etc/mail/sendmai 2）access.db 用來(lái)設(shè)置哪些主機(jī)進(jìn)行轉(zhuǎn)發(fā)郵件 /etc/mail/access.db,3）aliases.db文件 用來(lái)定義郵箱別名。該文件位于/etc/mail/aliases.db 4）virtusertable.db 用于設(shè)置虛擬帳戶。該文件位于 /etc/mail/virtusertable.db,3.Sendmail服務(wù)器架設(shè)流程 1）配置sendmail.mc文件 2）使用M4工具將sendmail.mc文件導(dǎo)入sendmail.cf文件 3）配置local-host-names文件 4）建立用戶 5）重新啟動(dòng)服務(wù)，使配置生效,1）配置sendmail.cf 和sendmail.mc Sendmail.cf是sendmail的核心配置文件，內(nèi)容為特定宏語(yǔ)言編寫(xiě)，使用修改sendmail.mc文件來(lái)代替sendmail.cf 編輯sendmail.mc文件，使用M4工具將結(jié)果導(dǎo)入sendmail.cf文件中。 Vi /etc/mail/sendmail.mc 修改 DAEMOM_OPTIONS addr=,2)M4工具的使用 rpm qa m4 M4工具在RHEL5的第二張光盤(pán) 在配置sendmail過(guò)程中，需要利用m4工具將其編輯后的sendmail.mc 文件內(nèi)容重新定向到sendmail.cf文件中 m4 /etc/mail/sendmail.mc /etc/mail/sendmail.cf,3.local-host-names文件 用來(lái)定義收發(fā)郵件的主機(jī)別名。 Vi /etc/mail/local-host-names 如：0715.com 4.建立用戶 Groupadd mail Useradd g mail wu Useradd g mail fei,passwd wu passwd fei 5.重啟服務(wù) Service sendmail start Service sendmail restart,6.設(shè)置郵件中繼 Vi /etc/mail/access Access文件用語(yǔ)控制郵件中繼和郵件的進(jìn)出的管理。 REJECT OK RELAY 修改access文件，必須使用makemap建立新的access.db數(shù)據(jù)庫(kù)。 makemap hash access.db access,Sendmail的高級(jí)配置 Sendmail的驗(yàn)證 通過(guò)郵件的認(rèn)證機(jī)制，能夠有效地拒絕非法用戶使用郵件服務(wù)器中繼功能。 1）安裝sasl庫(kù) rpm ivh cyrus-sasl-2.1.22-4.i386.rpm rpm ivh cyrus-sasl-lib-2.1.-4.i386.rpm,2)配置sendmail.mc 編輯sendmail.mc,去掉以下3行的dnl字段， 開(kāi)啟sendmail認(rèn)證功能。 52行 不管access如何設(shè)置，都能relay那些通過(guò)LOGIN，PLAIN，DIGEST-MD5方式的驗(yàn)證 53行 確定系統(tǒng)的認(rèn)證方式 123行 開(kāi)啟認(rèn)證,FTP服務(wù)器配置,1.FTP所需的軟件包 Vsftpd-2.0.5-10.e15.i386.rpm 位于第二張光盤(pán) 2.檢測(cè)軟件包 rpm qa|grep vsftp 3.Vsftp相關(guān)文檔 Vsftpd.conf Vsftp核心配置文件，該文件位于/etc/vsftpd,/etc/vsftpd.ftpusers 指定哪些用戶不能訪問(wèn)FTP服務(wù)器 /etc/vsftpd.user_list 禁止或允許使用vsftpd的用戶列表文件 /var/ftp 默認(rèn)情況下匿名用戶的根目錄,FTP服務(wù)器 Vi /etc/vsftpd/vsftpd.conf 1.anonymous_enable (yes|no) 是否允許匿名用戶登錄 2.local_enable (yes|no) 是否允許本地用戶登錄 3.write_enable (yes|no) 使用者是否有寫(xiě)權(quán)限,4.local_umask=022 設(shè)置本地用戶新建文件的權(quán)限的掩碼 5.dirmessage_enable (yes|no) 設(shè)置是否開(kāi)啟目錄提示功能 6.xferlog_std_format (yes|no) 用于設(shè)置日志的格式是否是標(biāo)準(zhǔn)格式 7.connect_from_port_20 設(shè)置接口模式傳輸數(shù)據(jù)時(shí)使用20端口,8.Listen (yes|no) 控制vsftpd進(jìn)程操作行為的字段 是否使用stand-alone模式啟動(dòng)，而不是使用超級(jí)進(jìn)程（xinetd) 9.pam_service_name 設(shè)置在使用PAM模塊進(jìn)行驗(yàn)證時(shí)使用的文件名 10.userlist_enable （yes|no) 是否使用控制用戶登錄的用戶列表,11.tcp_wrappers (yes|no) 是否在vsftpd中使用遠(yuǎn)程訪問(wèn)控制機(jī)制 附加： 實(shí)現(xiàn)匿名用戶訪問(wèn) 1.anonymous_enable (yes|no) 是否允許匿名用戶登錄 2.anon_mkdir_write_enable (yes|no) 是否允許匿名用戶創(chuàng)建目錄,3.anon_root (yes|no) 設(shè)置匿名用戶的根目錄 4.anon_upload_enable (yes|no) 是否允許匿名用戶上傳文件 5.anon_world_readable_only (yes|no) 是否只允許匿名用戶下載可閱讀文檔 6.anon_max_rate 設(shè)置匿名擁護(hù)的最大數(shù)據(jù)傳輸速度 7.write_enable=YES,例 搭建一臺(tái)FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp Vi /etc/vsftpd/vsftpd.conf anonymous_enable=YES anon_root=/var/ftp Anon_upload_enable=YES Anon_other_write_enable=YES Anon_mkdir_write_enable=YES Write_enable=YES,實(shí)現(xiàn)實(shí)體用戶訪問(wèn) 1.local_root 設(shè)置所有本地用戶的根目錄 2.local_umask 設(shè)置本地用戶新建文件的umask數(shù)值 3.user_config_dir 設(shè)置用戶配置文件所在的目錄,例 搭建一臺(tái)只允許本地帳戶登錄的FTP服務(wù)器 Vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES local_root=/home 測(cè)試使用匿名帳戶登錄,定制FTP目錄歡迎信息 1.dirmessage_enable （yes|no) 是否開(kāi)啟目錄提示功能 2.message_file 定義提示信息的文件名,限制用戶目錄 1.chroot_local_user (YES|NO) 是否將本地用戶鎖定在家目錄中 2.chroot_list_enable (YES|NO) 是否鎖定使用者在家目錄中 3.chroot_list_file 設(shè)置鎖定用戶的列表文件。文件中一行代表一個(gè)用戶,高級(jí)服務(wù)器配置 1.用戶控制 /etc/pam.d/vsftpd Sense字段默認(rèn)拒絕 /etc/ftpusers里的用戶 /etc/ftpusers 添加系統(tǒng)用戶,2.設(shè)置VSFTP虛擬帳號(hào) 1）創(chuàng)建用戶文本文件 Mkdir /vuser Vi /vftp/vuser.txt 123 xiaoqiang jack,2).生成數(shù)據(jù)庫(kù) db_load T t hash f /vftp/vuser.txt /vftp/vuser.db ls /vftp 3)修改數(shù)據(jù)庫(kù)文件 Chmod 700 /vftp/vuser.db 2.配置PAM文件 Vi /etc/pam.d/vsftpd,添加如下內(nèi)容 auth required /lib/security/pam_userdb.so db=/vsftpd/vuser Account required /lib/security/pam_userdb.so db=/vsftpd/vuser,3.創(chuàng)建虛擬帳戶對(duì)應(yīng)系統(tǒng)用戶 Useradd d /var/ftp/vuser vuser Mkdir /var/ftp/vuser Chown vuser.vuser /var/ftp/vuser Chmod 777 R /var/ftp/vuser 4.修改vsftpd.conf Guest_enable=YES Guest_username=vuser,Apache服務(wù)器配置,1.Apache所需的軟件 httpd-2.2.3-6.e15.i386.rpm Apache主程序包（第二張光盤(pán)） httpd-devel-2.2.3-6.e15.i386.rpm Apache開(kāi)發(fā)程序包 2.軟件包的檢測(cè) rpm qa|grep httpd,3.Apache常規(guī)配置 httpd.conf核心配置文件，/etc/httpd.conf 整個(gè)配置文件分3個(gè)部分 1）全局環(huán)境 global environment 2）主服務(wù)配置 main server configuration 3）虛擬機(jī)配置 virtual hosts,1.設(shè)置主機(jī)名稱 Servername字段定義了服務(wù)器名稱和端口號(hào) servername :80 servername 5:80 2.設(shè)置文檔目錄 Documentroot定義了網(wǎng)站的內(nèi)容都保存在文檔中 Documentroot “/var/www/html”,3.設(shè)置首頁(yè)名稱 Directoryindex 首頁(yè)名稱 directoryindex index.html index.php 4.網(wǎng)頁(yè)編碼設(shè)置 AddDefaultCharset GB2312,4.Apache的啟動(dòng)與停止 Service httpd start Service httpd stop Service httpd restart 5.使用ntsysv命令,利用文本圖形界面對(duì)apache自動(dòng)加載進(jìn)行配置,Apache高級(jí)服務(wù)器配置 1.配置Apache虛擬主機(jī) 虛擬主機(jī),利用一臺(tái)主機(jī)的資源,建立多個(gè)虛擬的Web主機(jī),充分挖掘服務(wù)器的潛力. 1)基于IP的虛擬機(jī). 通過(guò)IP地址識(shí)別虛擬主機(jī),這必須要為服務(wù)器網(wǎng)卡綁定多個(gè)IP地址. Ifconfig eth0:0 IP地址 netmask 子網(wǎng)掩碼 Ifconfig eth0:1 IP地址 netmask 子網(wǎng)掩碼,修改配置文件httpd.conf Documentroot /var/www/html Servername IP或 域名 Documentroot /var/www/html Servername IP或 域名 ,2)基于域名的虛擬主機(jī) 修改httpd.conf 添加如下 Namevirtualhost *:80 在DNS中，建立多個(gè)域名對(duì)應(yīng)服務(wù)器的IP地址 2. Apache訪問(wèn)控制 Apache server限制某個(gè)目錄或文檔的權(quán)限.默認(rèn)情況下的安全配置是拒絕一切訪問(wèn), Options FollowSymLinks 表示可以使用符號(hào)連接 AllowOverride None 禁止使用.Htaccess ,Order allow,deny 表示默認(rèn)情況下禁止所有客戶端訪問(wèn),且allow字段在deny字段之前被匹配 例 order allow,deny Allow from all 允許所有的客戶端訪問(wèn) order allow,deny Allow from Deny from 僅允許網(wǎng)段訪問(wèn),但其中不能訪問(wèn),Order deny,allow 表示默認(rèn)情況下允許所有客戶端訪問(wèn),且deny字段在allow語(yǔ)句之前被匹配 例 order deny,allow deny from deny from .0715.com 拒絕IP地址為和來(lái)自.0715.com域的客戶訪問(wèn).,Mysql數(shù)據(jù)庫(kù),一,Mysql基本操作 1.軟件包的檢測(cè) rpm qa|grep mysql 2.啟動(dòng)mysql Service mysqld start Service mysqld stop Service mysqld restart 3.進(jìn)入mysql mysql,4.創(chuàng)建數(shù)據(jù)庫(kù) create database 數(shù)據(jù)庫(kù)名稱; create database sunny; 5.顯示數(shù)據(jù)庫(kù) show databases; 6.創(chuàng)建表 use 數(shù)據(jù)庫(kù)名; create table 表名 (字段名 字段類型(長(zhǎng)度), 字段名 字段類型(長(zhǎng)度) ) 7.添加記錄 Insert into 表名 (字段1,字段2,.字段n) values (字段1的值,字段2的值,字段n的值);,8.更新記錄 Update 表名 set 字段名 = 字段值 where 字段名 = 字段值; 9.數(shù)據(jù)庫(kù)查詢 顯示數(shù)據(jù)庫(kù)列表 show databases; 選定數(shù)據(jù)庫(kù) use 數(shù)據(jù)庫(kù)名; 顯示當(dāng)前數(shù)據(jù)庫(kù) select database (); 顯示當(dāng)前數(shù)據(jù)庫(kù)列表 show tables; 顯示指定表的內(nèi)容 select * from 表名;,10.刪除操作 Delete from 表名 where 條件; 11.刪除表 drop table 表名; 12.刪除數(shù)據(jù)庫(kù) drop database 數(shù)據(jù)庫(kù)名; 13.退出mysql quit exit,二,mysql用戶配置 1.查看當(dāng)前用戶 Select user(); 2.創(chuàng)建用戶 Insert into mysql.user (host,user,password) values (%,guest,password(guest); Flush privileges; 重載授權(quán)表,3.更改用戶密碼 Update mysql.user set password = password(新密碼) where user = 用戶; 4.Flush privileges;重載授權(quán)表 5.刪除用戶 Delete from mysql.user where user =用戶名;,6.用戶授權(quán) Grant all privileges on 數(shù)據(jù)庫(kù)名.表名 to 用戶名主機(jī)名 identified by 密碼; 例 創(chuàng)建kkk使其對(duì)sunny數(shù)據(jù)庫(kù)具有完全的控制權(quán)限 Grant all privileges on sunny.* to kkk% identified by 123456;,7.撤消用戶授權(quán) Revoke all on 數(shù)據(jù)庫(kù)名.表名 from 用戶名主機(jī)名; Revoke all on sunny.* from kkk% *只是消除用戶的權(quán)限,而不是將其刪除,三,mysql的備份與恢復(fù) 1.Mysqldump 數(shù)據(jù)庫(kù)名稱 /路徑/備份文件名 例 Mysqldump sunny /guang/sunny.20081207.mysql 2.將文本數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫(kù)中 Load data local infile ”文件名” into table 表名;,iptables,1.Iptables簡(jiǎn)介 Netfilter/iptables IP過(guò)濾數(shù)據(jù)包系統(tǒng)由netfilter和iptables兩個(gè)組件構(gòu)成.netfilter集成在內(nèi)核中的一部分,作用是定義,保存相應(yīng)的規(guī)則.而iptables是一種工具,用以修改信息的過(guò)濾規(guī)則及其它配置. 2.Netfilter是LINUX核心中的一個(gè)通用架構(gòu),它提供了一系列的”表”,每個(gè)表由”鏈”組成. 每條鏈可以由一條或數(shù)條”規(guī)則”組成.,名詞解釋 1.規(guī)則:設(shè)置過(guò)濾數(shù)據(jù)包的具體條件,如IP,端口,協(xié)議及網(wǎng)絡(luò)接口等信息. Address port protocol interface 動(dòng)作:當(dāng)數(shù)據(jù)經(jīng)過(guò)LINUX時(shí),若netfilter檢測(cè)該包符合相應(yīng)規(guī)則,則會(huì)對(duì)該數(shù)據(jù)包進(jìn)行響應(yīng)的處理 2.ACCEPT DROP REJECT LOG,3.鏈 數(shù)據(jù)包傳遞過(guò)程中,不同的情況下所要遵循的規(guī)則組合成鏈. 分為內(nèi)置鏈和用戶自定義鏈,netfilter常用內(nèi)置鏈 PREROUTING 數(shù)據(jù)包進(jìn)入本機(jī),進(jìn)路由表之前 INPUT 通過(guò)路由表后,目的地為本機(jī) OUTPUT 由本機(jī)產(chǎn)生,向外轉(zhuǎn)發(fā) FORWARD 通過(guò)路由表后,目的地不為本機(jī) POSTROUTING 通過(guò)路由表后,發(fā)送至網(wǎng)卡前,4.表 接受數(shù)據(jù)包時(shí),netfilter會(huì)提供以下3種數(shù)據(jù)包處理的功能. 過(guò)濾 filter 地址轉(zhuǎn)換 nat 變更 mangle Netfilter根據(jù)數(shù)據(jù)包的處理需要,將鏈進(jìn)行組合,設(shè)計(jì)了3個(gè)表:filter,nat,mangle,一.Iptables的安裝 rpm qa|grep iptables 二.Iptables的啟動(dòng)與停止 Service iptables start Service iptables stop Service iptables restart,三.防火墻的配置 Iptables的語(yǔ)法 Iptables t 表的類型 命令 匹配 操作 Iptables t filter A INPUT P icmp j DROP 1.表的類型 filter nat mangle 2.命令 插入規(guī)則 刪除規(guī)則 添加規(guī)則 -P 定義默認(rèn)規(guī)則 iptables t filter P INPUT DROP -L 查看iptables規(guī)則表,-A 在規(guī)則列表最后添加1條規(guī)則 Iptables A OUTPUT -sport 22 DROP -I 在指定位置插入1條規(guī)則 Iptables I INPUT 2 -dport 80 j ACCEPT -D 從規(guī)則列表中刪除1條規(guī)則 Iptables t filter D OUTPUT p udp j DROP,-R 替換規(guī)則列表中的某條規(guī)則 -F 刪除表中的所有規(guī)則 Iptables F OUTPUT -Z 將表中數(shù)據(jù)包計(jì)數(shù)器和流量計(jì)數(shù)器歸零,3.匹配選項(xiàng) -i 指定數(shù)據(jù)包從哪個(gè)接口進(jìn)入 如 eth0 Iptables A INPUT i eth0 j ACCEPT *這個(gè)匹配操作只能用于INPUT,FORWARD,PREROUTING鏈中. 在接口前加!表示取反 Iptables A INPUT i ! eth0 j ACCEPT 匹配除eth0外的所有數(shù)據(jù)包,-o指定數(shù)據(jù)包從那個(gè)接口輸出 如 eth1 Iptables A FORWARD i eth0 o eth1 j ACCEPT *這個(gè)匹配操作只能用于OUTPUT,FORWARD,PREROUTING鏈中. -p指定數(shù)據(jù)包匹配的協(xié)議 如 tcp udp icmp Iptables A INPUT p udp j DROP,-s指定數(shù)據(jù)包匹配的源地址 Iptables A INPUT s 0 j DROP -d指定數(shù)據(jù)包匹配的目的地址 Iptables I OUTPUT d j ACCEPT -sport 源端口號(hào)(指定的數(shù)據(jù)包是不是源端口) Iptables A INPUT -sport 80 j ACCEPT,-dport目標(biāo)端口號(hào) Iptables A INPUT -dport 80 j ACCEPT 4.動(dòng)作選項(xiàng) ACCEPT 接收數(shù)據(jù)包 DROP 丟棄數(shù)據(jù)包 SNAT 源地址轉(zhuǎn)換 DNAT 目標(biāo)地址轉(zhuǎn)換 REJECT 丟棄數(shù)據(jù)包 向發(fā)送者返回錯(cuò)誤信息,5.保存與恢復(fù)規(guī)則 Iptables-save用來(lái)保存規(guī)則 Iptables-save /etc/iptables-save Service iptables save 使用重定向來(lái)保存這些規(guī)則 Iptables-restore Iptables-restore /etc/iptables-save,練習(xí): 1.為filter表的INPUT鏈添加一條規(guī)則,規(guī)則為允許訪問(wèn)TCP協(xié)議的80端口的數(shù)據(jù)包通過(guò) 2.在filter表中INPUT鏈的第2條規(guī)則前插入一條新規(guī)則,規(guī)則為不允許訪問(wèn)TCP協(xié)議的53端口的數(shù)據(jù)包通過(guò) 3.在filter表中INPUT鏈的第1條規(guī)則前插入一條新的規(guī)則,規(guī)則為允許源IP 網(wǎng)段的數(shù)據(jù)報(bào)通過(guò),4.替換filter表的INPUT鏈中的規(guī)則為禁止這個(gè)子網(wǎng)里所有的主機(jī)訪問(wèn)tcp協(xié)議的80端口. 5.刪除filter表的INPUT鏈中的第2條規(guī)則 6.刪除filter表INPUT鏈中的所有規(guī)則,常用實(shí)例及技巧分析 .禁止訪問(wèn)不健康的網(wǎng)站 1)Iptables A FORWARD d j DROP 2)Iptables A FORWARD d j DORP 2.禁止用戶使用QQ軟件,Iptables I FORWARD p tcp -dport 8000 j DROP Iptables I FORWARD p udp -dport 8000 j DROP Iptables I FORWARD d j DROP Iptables I FORWARD d j DROP,NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),1.Nat支持3種操作 1).SNAT:改變數(shù)據(jù)包的源地址. 2).DNAT:改變數(shù)據(jù)包的目的地址 3).MASQUERADE:作用與SNAT一樣,改變數(shù)據(jù)包的源地址. SANT與MASQUERADE的區(qū)別是MASQUERADE自動(dòng)查找可用的IP地址,而SNAT用配置好的IP地址,2.配置SNAT SNAT只能用在nat表的POSTROUTING鏈, 配置參數(shù)為-to-source Iptables t nat A POSTROUTING o 外網(wǎng)接口 j SNAT -to-source IP地址 例:iptables t nat A POSTROUTING o eth1 j SNAT -to-source ,例:公司內(nèi)部主機(jī)使用/8網(wǎng)段的IP地址,并且使用linux主機(jī)作為服務(wù)器連接互聯(lián)網(wǎng),外網(wǎng)地址為固定地址9,現(xiàn)需要修改相關(guān)設(shè)置保證內(nèi)網(wǎng)用戶能夠正常訪問(wèn)internet 1.開(kāi)啟內(nèi)核路由轉(zhuǎn)發(fā)功能 echo 1 /proc/sys/net/ipv4/ip_forward 2.添加SANT規(guī)則 iptables t nat A POSTROUTING o eth1 j SNAT -to-source 3.保存 service iptables save,3.配置DNAT DNAT需要在nat表的PREROUTING鏈設(shè)置,配置參數(shù)為-to-destination iptables t nat A PREROUTING i 內(nèi)網(wǎng)接口 p 協(xié)議 -dport 端口 j SNAT -to-destination IP地址 例:iptables t nat