RHCE253實(shí)驗(yàn)服務(wù)管理知識(shí)分享

1、Good is good, but better carries it.精益求精，善益求善。RHCE253實(shí)驗(yàn)服務(wù)管理RHCE253實(shí)驗(yàn)（服務(wù)管理）試驗(yàn)2域名系統(tǒng)估計(jì)時(shí)間：2個(gè)小時(shí)目標(biāo)：安裝和配置一個(gè)DNS服務(wù)器試驗(yàn)的起點(diǎn)：標(biāo)準(zhǔn)的RedHatLinux安裝介紹本次實(shí)驗(yàn)指導(dǎo)您通過(guò)使用BerkeleyInternetName守護(hù)進(jìn)程來(lái)配置域名服務(wù)。使用模板文件作為指導(dǎo)，您將實(shí)現(xiàn)一個(gè)僅有緩存的域名服務(wù)器配置named作為的從域名服務(wù)器配置named作為主域名服務(wù)器用于轉(zhuǎn)發(fā)和IP反查詢?cè)谡麄€(gè)試驗(yàn)中，您使用的機(jī)器名稱和域名將基于您使用的機(jī)器的IP地址。如果下面的試驗(yàn)出現(xiàn)了X字樣的名稱，您應(yīng)該把X字樣的名

2、稱替換成您的工作站的號(hào)碼（您的IP地址的最后一個(gè)部分）。例如，如果您的工作站的IP的地址是，您應(yīng)該將stationX.domainX.轉(zhuǎn)換成。將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。本次試驗(yàn)中以root身份來(lái)使用下面命令達(dá)成上面的要求：serviceiptablesstopchkconfigiptablesoff初始化安裝A.獲得必要的文件需要bind,bind-utils和caching-nameserver軟件包。使用rpmq來(lái)決定這些軟件包是

3、否被安裝。如果沒(méi)有被安裝，通過(guò)輸入如下命令來(lái)安裝（以root身份）：mkdir/mnt/server1;mountserver1:/var/ftp/pub/mnt/server1rpmUvh/mnt/server1/RedHat/RPMS/bind-9*rpmUvh/mnt/server1/RedHat/RPMS/bind-utils*rpmUvh/mnt/server1/RedHat/RPMS/caching-nameserver*RPM軟件包bind包括DNS守護(hù)進(jìn)程和支持腳本，但是沒(méi)有配置和區(qū)域文件。caching-nameserver提供了一個(gè)通用的配置和區(qū)域文件。B.配置本地的解析器

4、配置您的主機(jī)使得它能夠被用來(lái)作為域名服務(wù)，而不是54。注意：直到您的域名服務(wù)器被正確安裝和配置，您的機(jī)器的DNS服務(wù)不會(huì)奏效。您也應(yīng)該注意到當(dāng)您的系統(tǒng)重新啟動(dòng)的時(shí)候或者重新設(shè)定您的網(wǎng)絡(luò)的時(shí)候您的/etc/resolve.conf將會(huì)被改寫（除非您對(duì)您的網(wǎng)絡(luò)界面設(shè)定了在本講座中提及的PEERDNS）按照如下編輯您的解析器配置文件/etc/resolv.confsearchdomainX.nameserver192.168.0.X(記住將X替換成您的工作站的號(hào)碼)第一行定義了如果出現(xiàn)簡(jiǎn)單的不符合完整域名的主機(jī)名稱時(shí)默認(rèn)添加的缺省域。第二行指定了將主機(jī)192.168.0.X(您的機(jī)器)來(lái)作為DNS查

5、詢的解析器。為了簡(jiǎn)化情況，將除了localhost主機(jī)名稱的定義從您的主機(jī)名稱配置文件中刪除。/etc/hostslocalhostlocalhost.localdomain該步驟并不是必需的，但是可以簡(jiǎn)化DNS的調(diào)式。有時(shí)候安裝程序會(huì)將符合完整域名的主機(jī)名放在localhost的這一行，這樣一來(lái)會(huì)使得您無(wú)法準(zhǔn)確的確定您的域名服務(wù)器配置是否正確。步驟1：配置一個(gè)僅有緩存的域名服務(wù)器第一個(gè)配置您將建立一個(gè)僅有緩存的域名服務(wù)器。這種類型的域名服務(wù)器對(duì)于任何區(qū)域都不授權(quán)。僅有緩存的域名服務(wù)器被設(shè)定為主域名服務(wù)器。當(dāng)主機(jī)名稱或者IP地址需要被解析的時(shí)候，僅有緩存的域名服務(wù)器將查詢請(qǐng)求轉(zhuǎn)發(fā)到另外一臺(tái)域名

6、服務(wù)器或者到根域名服務(wù)器來(lái)決定授權(quán)的用來(lái)解析的域名服務(wù)器。一旦解析完成，僅有緩存的域名服務(wù)器在緩存中存儲(chǔ)解析的信息，該解析信息有一段的生存周期。以后的查詢將會(huì)變得很快。您已經(jīng)安裝完對(duì)于此項(xiàng)配置所有必須的文件。按照如下步驟來(lái)配置域名服務(wù)器：1在由caching-nameserver提供的/etc/named.conf中的“option”區(qū)域添加下面的內(nèi)容：forwarders54;forwardonly;這將導(dǎo)致您工作站上的僅有緩存的域名服務(wù)器轉(zhuǎn)發(fā)其不能解析的DNS查詢到在54的域名服務(wù)器，并且如果超時(shí)，不與根域名服務(wù)器直接聯(lián)系。2啟動(dòng)named:servicenamedstart3測(cè)試您的配置

7、使用host或者dig來(lái)查詢一些名稱和一些真實(shí)的Internet域名（如果您有Internet訪問(wèn)接口的話）步驟2：配置一個(gè)從域名服務(wù)器一個(gè)從域名服務(wù)器將為一個(gè)區(qū)域提供授權(quán)的回答,但不是區(qū)域的授權(quán)開(kāi)始。您現(xiàn)在將重新配置您的域名服務(wù)器作為區(qū)域和0.168.192.區(qū)域的從域名服務(wù)器。1在您的/etc/named.conf文件中添加如下行zone“”typeslave;masters54;file“.zone”;zone“0.168.192.”typeslave;masters54;file“slave-192.168.0.zone”;2重新啟動(dòng)named:servcienamedrestart3

8、檢查.zone和slave-192.168.0.zone文件。這些文件應(yīng)該包含了從位于54的主域名服務(wù)器傳過(guò)來(lái)的區(qū)域數(shù)據(jù)庫(kù)的副本。確保所有的正確工作。在您開(kāi)始下一個(gè)部分之前，去除您剛才在第一步中在/etc/named.conf中加入的兩個(gè)從區(qū)域。步驟3：配置一個(gè)主域名服務(wù)器現(xiàn)在您將配制您的域名服務(wù)器來(lái)負(fù)責(zé)對(duì)于區(qū)域“domainX.”的解析工作。您將同樣負(fù)責(zé)向?qū)?yīng)的反查區(qū)域。將采用如下的步驟：A.編輯配置文件（named.conf）B.準(zhǔn)備區(qū)域“domainX.”和區(qū)域“X.0.168.192.”的數(shù)據(jù)庫(kù)文件。C.重新啟動(dòng)域名服務(wù)器D.測(cè)試您的配置為了您能夠準(zhǔn)備您的配置文件和區(qū)域文件，我們提供了

9、模板文件。您可以通過(guò)匿名ftp方式從以下地址獲得：HYPERLINK54/pub/namedfiles/54/pub/namedfiles/在如下的步驟中，記得將范例文件中中每一出出現(xiàn)的X替換成您的工作站的號(hào)碼。E.主配置文件下面是我們應(yīng)該考慮的三個(gè)區(qū)域1“.”（根級(jí)別）區(qū)域“.”區(qū)域是DNS層次中的最高層。根服務(wù)器提供了哪些服務(wù)器對(duì)于給定的域享有授權(quán)?！?”節(jié)應(yīng)該以如下的方式出現(xiàn)：zone“.”typehint;file“named.ca”;2“domainX.”（正向查詢）區(qū)域添加如下的行，使得您的域名服務(wù)器成為區(qū)域的主服務(wù)器。zone“domainX.”typemaster;file“d

10、omainX.zone”;3“X.0.168.192.-”（反向查詢）區(qū)域現(xiàn)在添加如下的行，使得您的域名服務(wù)器成為反查區(qū)域的主服務(wù)器。zone“X.0.168.192.”typemaster;file“192.168.0.X.zone”;下面是位于的station2的樣例配置文件/etc/named.confoptionsdirectory“/var/named”;forwarders54;forwardonly;zone“.”typehint;file“named.ca”;zonelocalhostINtypemaster;filelocalhost.zone;zone0.0.127.INt

11、ypemaster;filenamed.local;zone“”typemaster;file“.zone”;zone“92.”typemaster;file“.zone”;F.數(shù)據(jù)庫(kù)文件您的主要配置文件指定了/var/named為數(shù)據(jù)庫(kù)所在的目錄。您現(xiàn)在必須在這個(gè)目錄下面為您區(qū)域和反查區(qū)域建立數(shù)據(jù)庫(kù)文件。這些數(shù)據(jù)庫(kù)文件包括您的SOA，NS，A，CNAME，MX，PTR和其他的可能的記錄。所有的數(shù)據(jù)文件以如下的行開(kāi)頭：$TTL86400該數(shù)值是缺省的以秒計(jì)的生存期間，該數(shù)值對(duì)所有在該域中的記錄有效1區(qū)域“domainX.”在主配置文件中,區(qū)域“domainX.”數(shù)據(jù)庫(kù)文件被存放在/var/na

12、med/domainX.。這個(gè)文件含有類似的如下的記錄開(kāi)始授權(quán)記錄INSOAstationX.domainX.root.stationX.domainX.(2001101100;Serial28800;Refresh14400;Retry3600000;Expire0);Negative“開(kāi)始授權(quán)”（SOA）記錄是數(shù)據(jù)庫(kù)文件的第一個(gè)資源記錄，但是它可能帶了一個(gè)前導(dǎo)符$TTL（缺省存活時(shí)間）。SOA記錄使得數(shù)據(jù)庫(kù)文件稱為該區(qū)域的授權(quán)的信息源。第一個(gè)標(biāo)記是后繼記錄適合的域，通常以“”簡(jiǎn)化形式出現(xiàn)，如果擴(kuò)展開(kāi)來(lái)那就是在named.conf文件中“zone”節(jié)中所指明的域名（或者是在文件通過(guò)$ORIG

13、IN定義的當(dāng)前區(qū)域，如果該定義存在的話）。第四個(gè)標(biāo)記使該域的主域名服務(wù)器，第五個(gè)是負(fù)責(zé)維護(hù)這個(gè)數(shù)據(jù)庫(kù)的系統(tǒng)管理員的電子郵件的地址，注意第一個(gè)分隔符替換了第一個(gè)標(biāo)記的符號(hào)（你能解釋為什么嗎？）。接下來(lái)在記錄中的條目指定了交互解析域名服務(wù)器的動(dòng)態(tài)特性。域名服務(wù)器記錄INNSstationX.domainX.域名服務(wù)器（NS）標(biāo)識(shí)了主機(jī)作為特定域的授權(quán)的域名服務(wù)器。他們對(duì)于這個(gè)區(qū)域指定了主和從服務(wù)器和代表授權(quán)的子域的其他的服務(wù)器（例如，對(duì)于所有domainX.的域名服務(wù)器有一個(gè)NS記錄）。正如您對(duì)于“domainX.”只能有一個(gè)單一的域名服務(wù)器，您也只能有一個(gè)單一的NS記錄。地址記錄domainX.

14、INA192.168.0.XstationX.domainX.INA192.168.0.XwwwINA192.168.0.XftpINA192.168.0.XpopINA192.168.0.X地址（A）記錄將主機(jī)名稱映射到IP地址（域名服務(wù)器的主要功能）。一個(gè)數(shù)據(jù)庫(kù)文件通常包含A記錄對(duì)應(yīng)著許多IP地址。然而在我們的教室的環(huán)境里，在您的區(qū)域里面只有一臺(tái)主機(jī)。注意第一個(gè)A記錄設(shè)定了域的“缺省的IP地址”。接下來(lái)的A記錄建立了多個(gè)主機(jī)名稱對(duì)應(yīng)一個(gè)IP地址。主機(jī)名稱可以是一個(gè)完全符合標(biāo)準(zhǔn)的名稱（FQDN），也可以是一個(gè)縮寫。所有的不以點(diǎn)號(hào)結(jié)尾的主機(jī)名稱都將被視為縮寫，并且區(qū)域名稱被附加到主機(jī)名稱的后面

15、。例如，第三個(gè)A記錄就是主機(jī)名稱HYPERLINK/www.domainX.規(guī)范名稱（別名）記錄www1INCNAMEstationX.domainX.www2INCNAMEstationX.domainX.www3INCNAMEstationX.domainX.別名（CNAME）記錄建立了主機(jī)名稱的別名。注意到別名映射到主機(jī)名稱而不是IP地址。CNAME不應(yīng)該出現(xiàn)在右邊的數(shù)據(jù)區(qū)域作為真實(shí)的主機(jī)名稱，對(duì)于多重別名的解析的速度會(huì)很慢。郵件交換記錄INMX10stationX.domainX.domainX.INMX10stationX.domainX.郵件交換記錄（MX）記錄了一個(gè)主機(jī)它將會(huì)處理

16、給定的域或者主機(jī)郵件的轉(zhuǎn)發(fā)。當(dāng)一個(gè)郵件傳遞代理（MTA）試圖投遞信件的時(shí)候，它將首先試圖在DNS中查找目的主機(jī)的MX記錄。如果該MX記錄存在，那么將直接發(fā)送到MX記錄指定的主機(jī)。反之，如果不存在MX記錄，MTA對(duì)于目的主機(jī)進(jìn)行標(biāo)準(zhǔn)的DNS查詢，并且直接投遞到該主機(jī)上去。MX記錄用來(lái)建立郵件的網(wǎng)關(guān)，和作為缺省的對(duì)于域的郵件的目的地。2區(qū)域“X.0.168.192.”在/etc/named.conf中，我們指定了/var/named/192.168.0.X.zone作為區(qū)域X.0.168.192.的反查區(qū)域數(shù)據(jù)庫(kù)文件。他應(yīng)該包含SOA記錄，NS記錄，和對(duì)應(yīng)的PTR記錄。開(kāi)始授權(quán)記錄INSOAsta

17、tionX.domainX.root.stationX.domainX.(4;10800；3600；604800；86400）INNSstationX.domainX.SOA和NS記錄與前面的區(qū)域文件中的名稱應(yīng)該相同。注意在NS記錄開(kāi)頭的空白的地方是非常特別的，并且被解釋為“和上一條記錄相同”的縮寫。在本例中，上一條記錄為符號(hào)“”，其本身就是在主配置文件中定義的域名的縮寫。指針記錄X.0.168.192.IN-ADDR.ARPA.INPTRstationX.domainX.指針（PTR）記錄通過(guò)間接的機(jī)制將名稱映射到IP地址。作為分離的技術(shù)來(lái)進(jìn)行IP地址的反查詢的替代，BIND采用了一種修改的

18、對(duì)于特定主機(jī)名稱的正向查詢的方式。這種“反向域名查詢”以反轉(zhuǎn)的IP地址后面添加“”域的形式出現(xiàn)。這將允許域名服務(wù)器使用相同的機(jī)制進(jìn)行正反兩方面的查詢。3把他們放在一起下面是位于的station2的樣例配置文件：/var/named/.zone$TTL86400INSOA.(2001101100;Serial28800;Refresh14400;Retry3600000;Expire0);NegativeINNS.INA.INAwwwINAftpINApopINAwww1INCNAME.www2INCNAME.www3INCNAME.INMX10.station2INMX10./var/name

19、d/.zone$TTL86400INSOA.(410800360060480086400）INNS.92.IN-ADDR.ARPA.INPTR.C.重新啟動(dòng)域名服務(wù)器再一次，我們將重新啟動(dòng)域名服務(wù)器。然后通過(guò)運(yùn)行pidof命令來(lái)確定其被運(yùn)行：servicenamedrestartpidofnamed查看一下服務(wù)器添加到/var/log/messages文件中的條目。確定您的域名在調(diào)入的時(shí)候沒(méi)有發(fā)生錯(cuò)誤。如果您已經(jīng)有一個(gè)域名服務(wù)器在運(yùn)行并且不想重新啟動(dòng)它，您可以使用servicenamedreload來(lái)重新裝入配置文件，這樣子對(duì)于停止和啟動(dòng)服務(wù)器而言都比較快。D.測(cè)試域名服務(wù)器進(jìn)行如下DNS查詢

20、，您能夠解釋所有的結(jié)果么？hoststationXdigstationX.digstationX.54digstationX.host192.168.0.Xdigx192.168.0.Xdigx54hostwwwhostwww1記住dig期望給與一個(gè)FQDN作為查詢，然而host則通過(guò)查看位于文件/etc/resolv.conf的查詢信息。試著在別的人的域名服務(wù)器和子域上進(jìn)行附加的查詢。如果設(shè)定正確，您將能夠在其他教室系統(tǒng)上進(jìn)行正向和反向查詢。挑戰(zhàn)性的項(xiàng)目通過(guò)增加多個(gè)“A”記錄使得一個(gè)主機(jī)名稱對(duì)應(yīng)著不同的IP地址來(lái)配置一個(gè)“輪轉(zhuǎn)”的主機(jī)名稱。域名服務(wù)器該如何處理這種情況？提示：試圖嘗試設(shè)定這些

21、的A記錄的TTL為0。在您的域中增加子域“support.somainX.”。增加合適的資源記錄使得它能夠反向指向您的IP地址。與另一臺(tái)工作站合作，成為另一臺(tái)工作站的從域名服務(wù)器，在您的區(qū)域中為您的工作站增加一個(gè)新的CNAME，確保這個(gè)改變能夠傳播到從服務(wù)器。收尾工作接下來(lái)的試驗(yàn)就較為簡(jiǎn)單了，一旦您重新啟動(dòng)您的工作站，所有的DNS查詢將會(huì)重新設(shè)定到教室中的服務(wù)器上。為了確保收尾，確保您重新設(shè)定/etc/resolve.conf到其初始的狀態(tài)。/etc/resolv.confnameserver54/etc/hostslocalhostlocalhost.localdomainlocalhost

22、192.168.0.XstationX.(如果您關(guān)閉后啟動(dòng)eth0接口，DHCP將會(huì)自動(dòng)為您設(shè)定配置文件)試驗(yàn)3Samba服務(wù)估計(jì)時(shí)間：1個(gè)小時(shí)目標(biāo)：使用samba共享用戶認(rèn)證和文件系統(tǒng)試驗(yàn)的起點(diǎn)：標(biāo)準(zhǔn)的RedHatLinux安裝將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉。缺省的安裝將會(huì)有一個(gè)文件叫做“/etc/sysconfig/iptables”，該文件配置了iptable的功能。運(yùn)行“chkconfigiptablesoff”。為了去除空間中所有的規(guī)則，運(yùn)行“serviceiptablesstop”步驟1：Samba的用戶連接的配置任務(wù)1.安裝

23、samba,samba-common和samba-clientRPM軟件包并且啟動(dòng)smb服務(wù)。一個(gè)缺省的配置將會(huì)被應(yīng)用.使用如下的命令確定Samba是在正確的工作：smbclientLlocalhostN您可以從服務(wù)器獲得回應(yīng)，但是并不代表文件共享可用。（確保smbd在運(yùn)行，否則該命令無(wú)法工作）2在您的系統(tǒng)中增加幾個(gè)用戶（karl,joe,mary和jen），但是并不給他們?cè)O(shè)定密碼。這些用戶僅能夠從samba服務(wù)訪問(wèn)服務(wù)器。為了使得他們?cè)趕hadow中不含有密碼，這些用戶的shell應(yīng)該設(shè)定為/sbin/nologin3缺省的samaba是被配置用來(lái)接收加密的密碼的，但是在文件/etc/sam

24、ba/smbpasswd中沒(méi)有設(shè)定任何密碼。如果加密的密碼在/etc/samba/smb.conf被設(shè)定，smbclient將發(fā)送加密的密碼，所以為了在您的系統(tǒng)上測(cè)試samba服務(wù)，您應(yīng)該首先建立smbpasswd文件，然后為每一個(gè)用戶在該文件中添加密碼。4注意到第一個(gè)在/etc/samba/smb.conf設(shè)定的共享home并沒(méi)有指定路徑。該共享被配置用來(lái)當(dāng)用戶連接并且認(rèn)證通過(guò)以后共享用戶的home目錄。瀏覽一個(gè)或者兩個(gè)用戶的home目錄。上傳一個(gè)文件到j(luò)oe的home目錄。可用的結(jié)果一個(gè)工作的samba服務(wù)可以被多個(gè)用戶通過(guò)smbclient訪問(wèn)。步驟2：提供給組目錄訪問(wèn)的權(quán)限場(chǎng)景故事為了

25、使得我們的四個(gè)用戶除了有他們自己的在服務(wù)器上的共享，我們這四位用戶同時(shí)在同一個(gè)部門工作并且需要一個(gè)地方來(lái)存儲(chǔ)部門的文件。我們將需要一個(gè)Linux用戶組，建立一個(gè)目錄給這些用戶來(lái)存儲(chǔ)它們的內(nèi)容，并且配置samba服務(wù)器來(lái)共享目錄。任務(wù)1建立一個(gè)對(duì)于擁有g(shù)id為30000的用戶叫做legal的新組并且使用usermod命令將這些用戶加到組里去。2建立一個(gè)目錄/home/depts/legal。對(duì)于這個(gè)目錄設(shè)定擁有權(quán)限，使得在legal組中的用戶可以在這個(gè)目錄中添加刪除文件，然而其他的人不可以。并且設(shè)定SGID和粘滯位使得所有在這個(gè)目中建立的文件都擁有同legal組的權(quán)限并且組中其他的的人不能夠刪除

26、該用戶建立的文件。3在/etc/samba/smb.conf中建立一個(gè)samba共享叫做legal。只有l(wèi)egal組中的用戶才能夠訪問(wèn)該共享。并且確保在legal中存放的文件的被建立的許可權(quán)限為0600。4重新啟動(dòng)smb服務(wù)并且使用smbclient；來(lái)進(jìn)行測(cè)試?？捎玫慕Y(jié)果1只有l(wèi)agal組能夠訪問(wèn)和使用一個(gè)Linux目錄。2一個(gè)samba共享只有l(wèi)egal組的用戶能夠訪問(wèn)并且編輯步驟3：為打印機(jī)提供訪問(wèn)場(chǎng)景故事在samba中除了可以共享文件以外，另外一個(gè)重要的功能就是提供共享打印隊(duì)列，該打印隊(duì)列已經(jīng)在您的Linux機(jī)器上定義。實(shí)際上，缺省的，所有在Linux機(jī)器上配置的打印隊(duì)列通過(guò)print

27、ers共享到網(wǎng)絡(luò)上去。在該步驟中，您將建立一個(gè)打印隊(duì)列，通過(guò)samba服務(wù)器進(jìn)行共享。然后通過(guò)smbclient來(lái)查看共享的打印機(jī)。任務(wù)1使用redhat-config-printer建立一個(gè)新的打印隊(duì)列。把打印隊(duì)列命名為printerX（其中X為您的工作站的號(hào)碼）。配置打印機(jī)到本地連接的打印機(jī)/dev/lp0。配置打印隊(duì)列確保任何遞交的打印作業(yè)將保留在隊(duì)列中。不要忘記重新啟動(dòng)samba服務(wù)器。2通過(guò)smbclient來(lái)連接samba服務(wù)器上共享的printerX。使用print命令來(lái)遞交打印作業(yè)到隊(duì)列中去。檢查作業(yè)已排隊(duì)否?？捎玫慕Y(jié)果1.一個(gè)定義的Linux打印隊(duì)列printerX2.一個(gè)S

28、amba服務(wù)器允許授權(quán)的用戶打印到共享打印機(jī)printerX挑戰(zhàn)1：安全和備份Samba/SMB現(xiàn)在所有的東西都可以運(yùn)行了，我們應(yīng)該考慮在Samba服務(wù)器上的網(wǎng)絡(luò)安全和數(shù)據(jù)的可靠性了。任務(wù)1定義并且保護(hù)對(duì)于samba服務(wù)器而言合法的連接。在文件/etc/samba/smb.conf中使用hostsallow參數(shù)來(lái)確定所有教室里的子網(wǎng)和本地回環(huán)子網(wǎng)。2使用testparm測(cè)試/etc/samba/smb.conf的語(yǔ)法。這個(gè)是否顯示出一些應(yīng)該考慮的安全上的漏洞呢？3對(duì)您的鄰居的legal共享進(jìn)行備份。通過(guò)用戶karl的帳戶建立一個(gè)共享的數(shù)據(jù)打包，使用或者smbtar命令或者smbclient的-

29、T選項(xiàng)?？捎玫慕Y(jié)果1samba服務(wù)器能夠識(shí)別來(lái)自允許的子網(wǎng)或者主機(jī)的連接2一個(gè)SMB或者Samba共享的備份數(shù)據(jù)打包一種解決方案步驟1lrpmivhHYPERLINK/pub/RedHat/RPMS/samba-c/pub/RedHat/RPMS/samba-c*rpmivhHYPERLINK/pub/RedHat/RPMS/samba-2/pub/RedHat/RPMS/samba-2*servicesmbstartsmbclientLlocalhostNluseradds/bin/falsekarluseradds/bin/falsejoeuseradds/bin/falsemaryuse

30、radds/bin/falsejenlsmbpasswdakarlsmbpasswdajoesmbpasswdamarysmbpasswdajenlsmbclient/localhost/joeUjoe您應(yīng)該看到smb:提示符put/etc/hostshosts步驟2lgroupaddg30000legalusermodGlegalkarlusermodGlegaljoeusermodGlegalmaryusermodGlegaljenlmkdirp/home/depts/legalchgrplegal/home/depts/legalchmod3770/home/depts/legall在文

31、件/etc/samba/smb.conf文件中，共享定義部分：legalcommnet=Legalsfilespath=/home/depts/legalpublic=nowritelist=legalcreatemask=0660lservicesmbrestart步驟3：lredhat-config-printerlservicesmbrestartlsmbclient/localhost/printerXujoe復(fù)習(xí)問(wèn)題1在ftp和smbclient之間有什么相同的地方？您使用ftp的時(shí)候永什么命令進(jìn)行上傳？ftp和smbclient之間上傳操作之間有什么不同。2命令nmblookup*

32、的作用是什么3smbtar命令是干什么的？4testparm/etc/samba/smb.conf6是做什么用的？5使用smbmount命令該使用什么語(yǔ)法？試驗(yàn)4電子郵件估計(jì)時(shí)間：2個(gè)小時(shí)目標(biāo)：建立基本的MTA的配置的技能試驗(yàn)的起點(diǎn)：標(biāo)準(zhǔn)的RedHatLinux安裝指導(dǎo)教師:確保在Server1上的sednmail.mc文件中的DAEMON_OPTIONS被注釋并且重新編譯sendmail.cf文件使得能構(gòu)接受來(lái)自其他主機(jī)的電子郵件。介紹本次實(shí)驗(yàn)作為一個(gè)安裝和配置MTA的介紹。在介紹中我們將提及sendmail和postfix。您可以選擇任何一個(gè)MTA，如果時(shí)間允許，您兩個(gè)都可以做一下試驗(yàn)。在

33、接下來(lái)的步驟中，您將安裝并且驗(yàn)證sendmail的“發(fā)件箱”為您的sendmail的按渣添加新的別名使用m4工具來(lái)改變您的轉(zhuǎn)發(fā)行為安裝POP3服務(wù)器并且配置POP客戶端在整個(gè)試驗(yàn)中，主機(jī)和域名取決于您的機(jī)器的IP地址。如果下面的試驗(yàn)出現(xiàn)了X字樣的名稱，您應(yīng)該把X字樣的名稱替換成您的工作站的號(hào)碼（您的IP地址的最后一個(gè)部分）。例如，如果您的工作站的IP的地址是，您應(yīng)該將stationX.domainX.轉(zhuǎn)換成。將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。

34、本次試驗(yàn)中以root身份來(lái)使用下面命令達(dá)成上面的要求：serviceiptablesstopchkconfigiptablesoff初始化安裝安裝必要的軟件包下列軟件包對(duì)于sendmail是必需的：sendmail,sendmail-cf,sendmail-doc,m4和procmail。對(duì)于postfix而言，您需要:postfix。如果需要他們，從CD上進(jìn)行檢視和安裝，server1的NFS安裝點(diǎn)，從:HYPERLINKftp:/server1/pub/RedHat/RPMS/ftp:/server1/pub/RedHat/RPMS/步驟1：配置MTA來(lái)收取郵件為了安全的原因，sendma

35、il和postfix的缺省的配置允許發(fā)郵件但是不允許從網(wǎng)絡(luò)上接收郵件（缺省的它們只接受從回環(huán)接口上的連接）。按照如下配置您選擇的MTA使得它接受傳入的連接：1.對(duì)于sendmail:修改/etc/mail/sendmail.mc使用dnl注釋在下面的行之前，就象這樣：dnlDAEMON_OPTIONS(Port=smtp,Addr=,Name=MTA)2.將您的sendmail.cf文件做一個(gè)備份：cp/etc/mail/sendmail.cf/etc/mail/sendmail.cf.orig3.在同一個(gè)目錄下，編譯sendmail.cfm4/etc/mail/sendmail.mc/etc

36、/mail/sendmail.cf4.重新啟動(dòng)sendmail,通過(guò)servicesendmailrestart對(duì)于postfix:修改/etc/postfix/main.cfA.找到并注釋如下行inet_interfaces=localhostB.取消注釋該行：inet_interfaces=allC.保存文件并且進(jìn)行到步驟2的結(jié)束的地方。找到和上面一樣的對(duì)應(yīng)于postfix的配置的地方。步驟2：?jiǎn)?dòng)和校驗(yàn)MTA操作對(duì)于sendmail:有幾個(gè)步驟您應(yīng)該采用，以確保sendmail被正確安裝。A.確信sendmail已經(jīng)被在適當(dāng)?shù)倪\(yùn)行級(jí)別上運(yùn)行檢查您的sendmail被適當(dāng)?shù)呐渲们夷軌蛟谥匦?/p>

37、啟動(dòng)以后其能夠運(yùn)行。使用chkconfig是比較方便的。chkconfig-listsendmailsendmail0:off1:off2:on3:on4:on5:on6:off如果sendmail在標(biāo)準(zhǔn)的用戶運(yùn)行級(jí)別時(shí)無(wú)效，使用chkconfig,ntsysv或者serviceconf之類的工具來(lái)激活服務(wù)。B.確定sendmail沒(méi)有在啟動(dòng)的時(shí)候出現(xiàn)錯(cuò)誤RedHatLinux安裝的時(shí)候使用提供的syslog工具來(lái)記錄所有的信息到文件/var/log/maillog中去。檢查此文件中的最后出現(xiàn)“starting”的地方以確保sendmail在啟動(dòng)的時(shí)候沒(méi)有任何錯(cuò)誤。sendmail可執(zhí)行文件位

38、于/usr/sbin/sendmail。為了確定sendmail是否正確標(biāo)識(shí)您的主機(jī)名稱，通過(guò)命令行開(kāi)關(guān)開(kāi)啟其調(diào)試模式并且設(shè)定為0：sendmaild0EHLOlocalhost.localdomain250-localhost.localdomainHellostation1,pleasedtomeetyou.MAILFrom:SIZE=52HYPERLINKmailto:AUTH=rootlocalhost.localdomainAUTH=rootlocalhost.localdomain2502.1.0.SenderokRCPTTo:DATA2502.1.5.Recipientok354

39、Entermail,endwith.onalinebyitself.2502.0.0h8M6TOU5026513MessageacceptedfordeliveryHYPERLINKmailto:root82root82.Sent(h8M6TOU5026513Messageacceptedfordelivery)ClosingconnectiontoQUIT2212.0.0localhost.localdomainclosingconnection如果SMTP交換向上面一樣正確，那么消息將被轉(zhuǎn)發(fā)到您的工作站上的本地的轉(zhuǎn)發(fā)服務(wù)器上，并且mailqAc將會(huì)報(bào)告一個(gè)空的對(duì)列。接下來(lái)檢查mail（不使

40、用參數(shù)）來(lái)檢查一下消息是否從本地的轉(zhuǎn)發(fā)到server1。這樣對(duì)列也應(yīng)該是空的。您的消息是不是在/var/log/maillog中正確的記錄呢？在下面的步驟中，監(jiān)視文件/var/log/maillog。下面的命令將會(huì)十分的有用：xtermetailf/var/log/maillog&對(duì)于postfix:A.運(yùn)行servicesendmailstop，接下來(lái)使用redhat-switch-mail使得postfix成為活躍的MTA。您也可以使用如下的命令行：alternativessetmta/usr/sbin/sendmail.postfixB.確保postfix在合適的運(yùn)行級(jí)別有效：chkco

41、nfig-listpostfixpostfix0:off1:off2:on3:on4:on5:on6:offC.確定hostname命令正確的返回您的主機(jī)名稱。應(yīng)該是您的FQDN。如果sendmail返回您的主機(jī)名稱為localhost,您可能錯(cuò)誤配置了/etc/hosts文件。檢查您的/etc/hosts文件，刪除所有的但記住留下localhost的指向，然后再試一遍。如果/etc/hosts文件是正確的，那么檢查一下在/etc/sysconfig/netwoek中的HOSTNAME的定義。當(dāng)這些值都正確的時(shí)候，啟動(dòng)postfix服務(wù)。D.確定postfix在啟動(dòng)的時(shí)候沒(méi)有錯(cuò)誤和sendma

42、il一樣，RedHatLinux的安裝使用提供的syslog工具來(lái)記錄所有的信息到文件/var/log/maillog中去。檢查此文件中的最后查找任何錯(cuò)誤信息。試圖向HYPERLINKmailto:rootserver1rootserver1發(fā)送簡(jiǎn)單的郵件并且檢查/var/log/maillog的記錄文件mailsecho$USERHYPERLINKmailto:rootserver1rootserver1/etc/redhat-release應(yīng)該如下所示：Sep2202:51:50station1postfix/pickup2865:A20ED348389:uid=0from=Sep2202

43、:51:50station1postfix/cleanup3534:A20ED348389:message-id=Sep2202:51:50station1postfix/nqmgr2866:A20ED348389:from=,size=341,nrcpt=1(queueactive)Sep2202:51:51station1postfix/smtp3536:A20ED348389:to=,relay=8282,delay=1,status=sent(250Messagequeued)步驟3：添加新的別名對(duì)于sendmail:在sendmail決定消息的接受者的目的地的之前，其先試圖在別名中查

44、找。sendmail的主要的別名配置文件是/etc/aliases。為了優(yōu)化查找，sendmail為其別名記錄建立了一個(gè)哈希表數(shù)據(jù)庫(kù)/etc/aliases.db.該文件通過(guò)newalias命令產(chǎn)生（該命令是sendmailbi的同名）下列命令將增加用戶student(如果不存在的話)useraddstudent在/etc/aliases行加入如下的行：me:studentwizards:root,memethere:HYPERLINKmailto:studentstationX.studentstationX.現(xiàn)在運(yùn)行newalias命令來(lái)更新數(shù)據(jù)庫(kù)，嘗試發(fā)送郵件給您定義的收件人：newal

45、iasecho“hellothere”|mails“hello”meecho“hellothere”|mails“hello”wizardsecho“hellothere”|mails“hello”methere您是否得到了期望的結(jié)果？是否所有的位于wizards的收件人都受到了郵件？如果沒(méi)有，su到不是root的用戶再試一次。在postfix決定消息的接受者的目的地的之前，其先試圖在別名中查找。postfix的主要的別名配置文件是/etc/postfix/aliases。為了優(yōu)化查找，postfix為其別名記錄建立了一個(gè)哈希表別名數(shù)據(jù)庫(kù)/etc/postfix/aliases.db（和sen

46、dmail類似）.該文件通過(guò)newalias命令產(chǎn)生。下列命令將增加用戶student(如果不存在的話)useraddstudent在/etc/postfix/aliases行加入如下的行：注意：注釋root別名的那一行為postfixme:studentwizards:root,memethere:HYPERLINKmailto:studentstationX.studentstationX.現(xiàn)在運(yùn)行newalias命令來(lái)更新數(shù)據(jù)庫(kù)，嘗試發(fā)送郵件給您定義的收件人：newaliasecho“hellothere”|mails“hello”meecho“hellothere”|mails“hel

47、lo”wizardsecho“hellothere”|mails“hello”methere您是否得到了期望的結(jié)果？是否所有的位于wizards的收件人都受到了郵件？步驟4.控制轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)允許郵件通過(guò)使用中間的“轉(zhuǎn)發(fā)”及其傳遞到其目的地。盡管這個(gè)功能曾經(jīng)有用，但是轉(zhuǎn)發(fā)已經(jīng)成為Internet上垃圾郵件的源泉了。人們希望發(fā)送主動(dòng)提供的的郵件的時(shí)候希望使用轉(zhuǎn)發(fā)機(jī)制，從而使得郵件發(fā)源地很難被偵測(cè)出來(lái)。下列步驟將使用下面的主機(jī)。替換X,Y和Z為適合的工作站的號(hào)碼：stationX:源機(jī)器，郵件從這里發(fā)出stationY:轉(zhuǎn)發(fā)機(jī)器，這里郵件從發(fā)送者送出stationZ:目的機(jī)器,郵件的最終目的該步驟假設(shè)您

48、是stationX,轉(zhuǎn)發(fā)機(jī)器，與某人的stationY合作，該機(jī)器為郵件的源頭。在該步驟中，注意/var/log/maillog的變化。下列命令將會(huì)顯得十分的有用。對(duì)于sendmail步驟A：允許轉(zhuǎn)發(fā)您具有控制允許誰(shuí)在您的機(jī)器上轉(zhuǎn)發(fā)的能力。通過(guò)控制您的機(jī)器的混雜轉(zhuǎn)發(fā)，您可以使得任何人都能夠?qū)⒛臋C(jī)器作為轉(zhuǎn)發(fā)的主機(jī)。（我們對(duì)于這種的嘗試表示反對(duì)，也希望通過(guò)該實(shí)驗(yàn)顯示出其缺陷）。配置/etc/mail/sendmail.mc,通過(guò)加入如下行使得m4前置處理器允許混雜轉(zhuǎn)發(fā)：/etc/mail/sendmail.mc(其他的內(nèi)容)FEATURE（promiscuous_relay）dnl使用m4前置處

49、理機(jī)通過(guò)這個(gè)模板文件生成一個(gè)新的sendmail配置文件，然后將新生成的文件與通過(guò)sendmailRPM軟件包提供的進(jìn)行比較m4/etc/mail/sendmail.mc/etc/mail/sendmail.test-relaydiff/etc/mail/sendmail.test-relay/etc/mail/sendmail.cf使用混雜轉(zhuǎn)發(fā)以后會(huì)有多大的不同呢？現(xiàn)在將新建立的sendmail.test放置在恰當(dāng)?shù)奈恢蒙?，重新啟?dòng)sendmail.mv/etc/mail/sendmail.cf/etc/mail/sendmail.cf.accept-mailcp/etc/mail/send

50、mail.test-relay/etc/mail/sendmail.cfservicesendmailrestart讓您的伙伴扮演惡意的垃圾郵件的發(fā)送者，該人能夠通過(guò)telnet到您的機(jī)器上的smtp(sendmail)的25號(hào)斷口，進(jìn)行垃圾郵件發(fā)送地址的欺騙，在stationY鍵入如下命令：這個(gè)例子對(duì)于stationY(源機(jī)器)station2,并且stationX(轉(zhuǎn)發(fā)，在這里目的機(jī)器)station1rootstation1root#telnetstation125T.C().Escapecharacteris.220(IMail8.008-1)NT-ESMTPServerX1250ma

51、ilfrom:HYPERLINKmailto:spammerspammer250okrcptto:root250okitsfordata354ok,sendit;endwith.Subject:Fakedthiswasfaked!.250Messagequeuedquit221GoodbyeConnectionclosedbyforeignhost.垃圾郵件現(xiàn)在送到您的機(jī)器上了。下一步，看看您的伙伴能不能從您的機(jī)器轉(zhuǎn)發(fā)給第三臺(tái)機(jī)器：這個(gè)例子對(duì)于stationY(源機(jī)器)station2,并且stationX(轉(zhuǎn)發(fā)，在這里目的機(jī)器)station1，并且stationZ(目的機(jī)器)station

52、3rootstation1root#telnetstation125T.C().Escapecharacteris.220(IMail8.009-1)NT-ESMTPServerX1250mailfrom:HYPERLINKmailto:spammerspammer250okrcpttoHYPERLINKmailto:rootroot250okitsfordata354ok,sendit;endwith.Subject:Relayedthiswasfakedanyrelayed!.250Messagequeuedquit221GoodbyeConnectionclosedbyforeignho

53、st.由于您的機(jī)器已經(jīng)被配置成為允許混雜轉(zhuǎn)發(fā)，垃圾郵件可以通過(guò)您的機(jī)器進(jìn)行郵件轉(zhuǎn)發(fā)。對(duì)于postfix:您具有控制允許誰(shuí)在您的機(jī)器上轉(zhuǎn)發(fā)的能力。缺省的postfix允許在子網(wǎng)上的任何人通過(guò)您的機(jī)器進(jìn)行轉(zhuǎn)發(fā)。膽汁并不是在每一個(gè)環(huán)境中都安全的。例如，您的機(jī)器和其他機(jī)器在一起，如果您的本地子網(wǎng)里有一臺(tái)機(jī)器被其他人控制，那么其他的機(jī)器都會(huì)有麻煩。讓您的伙伴扮演惡意的垃圾郵件的發(fā)送者，該人能夠通過(guò)telnet到您的機(jī)器上的postfix的25號(hào)斷口，進(jìn)行垃圾郵件發(fā)送地址的欺騙，在stationY鍵入如下命令：rootstation1root#telnetstation125Trying.Connecte

54、dtostation1().Escapecharacteris.220ESMTPPostfix250mailfrom:spammer250Okrcptto:HYPERLINKmailto:rootroot250Okdata354Enddatawith.Subject:Fakedthiswasfaked!.250Ok:queuedas4FFA2348389quit221ByeConnectionclosedbyforeignhost.垃圾郵件現(xiàn)在送到您的機(jī)器上了。下一步，看看您的伙伴能不能從您的機(jī)器轉(zhuǎn)發(fā)給第三臺(tái)機(jī)器：這個(gè)例子對(duì)于stationY(源機(jī)器)station2,并且stationX(轉(zhuǎn)

55、發(fā)，在這里目的機(jī)器)station1，并且stationZ(目的機(jī)器)station3rootstation1root#telnetstation125Trying.Connectedtostation1().Escapecharacteris.220ESMTPPostfix250mailfrom:HYPERLINKmailto:spammerspammer250Okrcptto:HYPERLINKmailto:rootroot250Okdata354Enddatawith.subject:Relayedthiswasfakedandrelayed!.250Ok:queuedas69C7B34

56、8389quit221ByeConnectionclosedbyforeignhost.由于您的機(jī)器已經(jīng)被配置成為允許混雜轉(zhuǎn)發(fā)，垃圾郵件可以通過(guò)您的機(jī)器進(jìn)行郵件轉(zhuǎn)發(fā)。步驟B：不允許轉(zhuǎn)發(fā)對(duì)于sendmail通過(guò)替換新的sendmail.cf為接受傳入的信件的配置文件來(lái)恢復(fù)缺省的sendmail的配置，并且重新啟動(dòng)sendmail：mv/etc/mail/sendmail.cf.accept-mail/etc/mail/sendmail.cfservicesendmailrestart讓您的伙伴再?gòu)膕tationY轉(zhuǎn)發(fā)垃圾郵件。您的sendmail還是一個(gè)轉(zhuǎn)發(fā)器么？任何一個(gè)轉(zhuǎn)發(fā)的都會(huì)產(chǎn)生如下的消息

57、：550HYPERLINKmailto:rootroot.Relayingdenied對(duì)于postfix編輯文件/etc/postfix/main.cf取消轉(zhuǎn)發(fā)。查找并且取消注釋下面的行，并且重新啟動(dòng)postfixmynetworks_style=host讓您的伙伴再?gòu)膕tationY轉(zhuǎn)發(fā)垃圾郵件。您的postfix還是一個(gè)轉(zhuǎn)發(fā)器么？任何一個(gè)轉(zhuǎn)發(fā)的都會(huì)產(chǎn)生如下的消息：554:Recipientaddressrejected:Relayaccessdenied步驟C：選擇性的轉(zhuǎn)發(fā)對(duì)于sendmail對(duì)于特定的主機(jī)，域或者網(wǎng)絡(luò)，編輯/etc/mail/access并且重新啟動(dòng)sendmail。為了

58、允許所有在域中的機(jī)器可以把您的機(jī)器作為郵件轉(zhuǎn)發(fā)服務(wù)器，你在/etc/mail/acces中添加如域。和您的伙伴使用場(chǎng)景A中的命令進(jìn)行測(cè)試。對(duì)于postfix對(duì)于特定的主機(jī)，域或者網(wǎng)絡(luò)，編輯/etc/postfix/main.cf并且重新啟動(dòng)postfix。對(duì)于特定的主機(jī)允許通過(guò)您的機(jī)器進(jìn)行轉(zhuǎn)發(fā)，找到并且取消注釋該行：mynetworks_style=host然后添加新行來(lái)允許轉(zhuǎn)發(fā)的主機(jī)和網(wǎng)絡(luò)，在這里允許station1和本地轉(zhuǎn)發(fā)mynetworks=,/8和您的伙伴使用場(chǎng)景A中的命令進(jìn)行測(cè)試。步驟5：安裝POP3服務(wù)器和客戶端在這個(gè)步驟中，你將配制您的機(jī)器stationX作為郵件的POP3服務(wù)

59、器，使得您的在stationY的伙伴扮演POP客戶端的角色。步驟A：安裝POP3服務(wù)器配置一個(gè)POP3服務(wù)器比較簡(jiǎn)單，只需要兩個(gè)步驟：l安裝相關(guān)的RPM軟件包l在xinetd中允許服務(wù)安裝相關(guān)的RPM軟件包POP守護(hù)進(jìn)程和其他的具有相同功能的守護(hù)進(jìn)程，例如IMAP守護(hù)進(jìn)程綁定在軟件包imap中。再如xinetd,krb5-libs*和imap軟件包來(lái)檢查imap軟件包含有什么軟件。三個(gè)守護(hù)進(jìn)程被包括進(jìn)來(lái)：imapd,ipop2d和ipop3d。POP3被用在很多Internet服務(wù)提供商，POP2提供是為了向后兼容。IMAP守護(hù)進(jìn)程提供了根加復(fù)雜的能力，包括了在服務(wù)器端的文件夾的管理。在xin

60、etd中允許服務(wù)對(duì)于本實(shí)驗(yàn)，我們僅選定POP3服務(wù)。ipop3d通過(guò)xinetd在請(qǐng)求的時(shí)候被啟動(dòng)。為了激活，運(yùn)行下面的命令：servicexinetdstartchkconfigipop3on查看一下/etc/xinetd.d/ipop3。顯式的重新啟動(dòng)xinetd并不是必需的，由于chkconfig發(fā)送給xinetd一個(gè)USR2信號(hào)告訴他重新調(diào)入其配置。確認(rèn)服務(wù)運(yùn)行下面的命令確認(rèn)服務(wù)已經(jīng)被正確的安裝。下面的命令只是一個(gè)指導(dǎo)：echo“mailtobepoped”|mails“Hellostudent”studentrootstation1root#telnetlocalhost110Try