linux常用服務(wù)器配置

Linux常用服務(wù)器配置文件修改記錄表序修改人修改內(nèi)容批準(zhǔn)人生效日期版本號1紀(jì)能能“J八、、八、、創(chuàng)建李石鵬2012紀(jì)能能/J八、、八、、增加DNS,DHCP,NTP的配置李石鵬紀(jì)能能/J八、、八、、增加FTP服務(wù)器的配置李石鵬45678910版權(quán)聲明和保密須知本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬江蘇金智教育信息技術(shù)有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何單位和個人未經(jīng)江蘇金智教育信息技術(shù)有限公司的書面授權(quán)許可，不得復(fù)制或引用本文件的任何片斷，無論通過電子形式或非電子形式。Copyright2011江蘇金智教育信息技術(shù)有限公司版權(quán)所有目錄目錄說明文檔目的為了能夠讓部門工程師在以后的部署實施過程中熟悉linux下常用的業(yè)務(wù)配置，遂整理此文檔。本文詳細(xì)列出了在常見環(huán)境中Linux下常用業(yè)務(wù)配置；并對具體業(yè)務(wù)進行了分析和配置示例，希望大家在以后的部署中能夠嚴(yán)格去執(zhí)行此規(guī)范。規(guī)范文檔中，尚有欠妥之處。請各位實施部署工程師及時指正！文檔適用范圍本文檔使用江蘇金智教育信息技術(shù)有限公司所有項目范圍（含北京分公司、上海分公司、福建區(qū)域）文檔約定XXX字符標(biāo)示著根據(jù)現(xiàn)場實際情況來填寫紅色加粗標(biāo)示著必須嚴(yán)格按照要求填寫1NFS服務(wù)的配置=iNFS服務(wù)的簡介1NFS服務(wù)的配置=iNFS（NetworkFileService）的設(shè)計是為了在不同的unix系統(tǒng)間進行檔案共享。當(dāng)使用者想用遠端檔案時只要用“mount”就可把remote文件系統(tǒng)掛接在自己的文件系統(tǒng)之下，使得遠端的文件使用上和local機器的檔案沒兩樣。其目的就是讓不同unix操作系統(tǒng)之間可以彼此共享文件。NFS服務(wù)器的常用功能：1、可以把服務(wù)器的文件象本地一樣的操作，很方便；2、NFS服務(wù)器對系統(tǒng)資源占用也少；3、NFS可以支持很多其他服務(wù)，比如kickstart（kickstart是無人值守，網(wǎng)絡(luò)批量安裝服務(wù)），NIS等等。NFS服務(wù)建立在RPC（遠程過程調(diào)用）協(xié)議上的服務(wù)，使用時需要先打開portmap（端口映射）服務(wù)進程。因為本身NFS服務(wù)的功能非常多，所以通常該服務(wù)開啟的端口是隨機的，當(dāng)NFS需要使用某個功能時，我們通常是將開啟的請求發(fā)送給RPC協(xié)議上的portmap進程，做一個端口開啟與映射工作。作為一名運維工程師，對于NFS服務(wù)的配置一定要非常的熟悉。NFS服務(wù)也是類unix平臺下最基本的常用業(yè)務(wù)。NFS服務(wù)側(cè)寫1）NFS服務(wù)的進程通常有：nfsd，nfslockd，rpciod，，，2）服務(wù)啟動腳本：/etc/portmap,/etc/nfs3）使用端口：111（portmap進程的端口，通常只有這一個是固定使用端口）4）所需RPM包：nfs-utils5）相關(guān)RPM包：portmap（必需）6）配置文件：/etc/exportsNFS服務(wù)端的配置通常來說，NFS服務(wù)端的配置主要是基于/etc/exports文件的編輯。初始狀態(tài)下，/etc/exports文件為空。文件中的每一行，表示一個開放的目錄，并記錄著它開放權(quán)限。每一行中都分為三列關(guān)系：第一列，寫入你需要共享的目錄路徑；第二列寫入客戶端描述，也就是哪些客戶端可以使用你的服務(wù)器共享的資源；第三列是緊挨著第二列的，內(nèi)容是共享信息開放的權(quán)限。具體配置實例如下：/home/share*.（ro,sync）表示將‘/home/share’目錄以‘只讀/readonly’的方式開放給這個域的所有成員。?表示將/var/ftp/pub目錄以“讀寫”的權(quán)限開放給這個網(wǎng)絡(luò)的所有客戶端成員。?/kickstart表示將/kickstart目錄以“讀寫”的權(quán)限只開放給這一個客戶端成員。配置文件/etc/exports中有一些常見的使用參數(shù)，具體功能如下:sync代表資料會同步寫入到內(nèi)存和硬盤中。async則代表資料會暫存于內(nèi)存中，而非直接寫入硬盤。ro,rw該目錄共享的權(quán)限是只讀或者讀寫的權(quán)限，但最終能不能讀寫還要看本身文件系統(tǒng)的設(shè)置。如/var/ftp/pub目錄共享時是rw權(quán)限，如果最終客戶端想要讀寫操作該目錄，還必須執(zhí)行chmodo+rw/var/ftp/pub才可以。root_squash當(dāng)?shù)顷慛FS主機使用共享目錄的使用者是root時，其權(quán)限被轉(zhuǎn)換成匿名使用者，通常它的UID與GID都會變成nfsnobody身份。no_root_squash如果你想要開放客戶端使用root身份來操作服務(wù)器的文件系統(tǒng)，那么就得要設(shè)置no_root_squash才可以。強烈建議不要設(shè)置此參數(shù)，使用默認(rèn)的root_squash參數(shù)比較安全些。all_squash不論客戶端使用共享資源的用戶是什么樣的身份，都會被轉(zhuǎn)換成nfsbody身份。1.4服務(wù)的啟動與檢查當(dāng)服務(wù)端的配置做好后，我們需要重啟服務(wù)讓配置生效，并做好相應(yīng)的配置檢查。服務(wù)啟動時我們一定首先啟動portmap進程，之后再啟動nfs主進程。使用如下命令：[root@station20~]#/etc/portmaprestartStoppingportmap:[OK]Startingportmap:[OK][root@station20~]#/etc/nfsrestartShuttingdownNFSmountd:[FAILED]ShuttingdownNFSdaemon:[FAILED]ShuttingdownNFSquotas:[FAILED]ShuttingdownNFSservices:[FAILED]StartingNFSservices:[OK]StartingNFSquotas:[OK]StartingNFSdaemon:[OK]StartingNFSmountd:[OK]服務(wù)啟動后，我們還需要做好相應(yīng)的服務(wù)配置檢查，才能確保NFSserver真正的運行沒有問題。檢查我們使用如下命令：[root@station20~]#exportfs-rv[root@station20~]#showmount-elocalhostExportlistforlocalhost:programversprotoport1000002tcp111portmapper

1000002udp111portmapper1000241udp611status1000241tcp614status1000111udp919rquotad1000112udp919rquotad1000111tcp922rquotad1000112tcp922rquotad1000032udp2049nfs1000033udp2049nfs1000034udp2049nfs1000211udp50578nlockmgr1000213udp50578nlockmgr1000214udp50578nlockmgr1000032tcp2049nfs1000033tcp2049nfs1000034tcp2049nfs1000211tcp53998nlockmgr1000213tcp53998nlockmgr1000214tcp53998nlockmgr1000051udp946mountd1000051tcp949mountd1000052udp946mountd1000052tcp949mountd1000053udp946mountd1000053tcp949mountd檢查的命令中，前面的兩個命令：exportfs-rv和showmount-elocalhost，都是檢查serve端的共享信息。第三個命令rpcinfo-pserverip這個是用來列出NFSserver端服務(wù)開啟后的進程與端口的對應(yīng)關(guān)系，如果這其中少了一些如mountd,nfs等進程對應(yīng)關(guān)系，NFSserver都是開啟不了的。第三條檢查命令強烈建議熟悉使用。1.5NFS客戶端的使用NFS服務(wù)端配置完成后，NFS客戶端的使用相對就簡單的多。首先可以使用如下命令檢查server端的共享信息。當(dāng)確定服務(wù)端的共享信息后，我們在使用相應(yīng)的掛載命令將server的信息當(dāng)做本地資源一樣的進行掛載使用。使用命令如下：永久掛載server端資源，使用如下命令：[root@instructor~]#vim/etc/fstabproc/procprocdefaults00/dev/GLSvg/GLSswapswapswapdefaults00[root@instructor~]#mount-a2DNS服務(wù)的基本配置2.1DNS的基本概念DNS(domainnameserver)是域名解析服務(wù)器，提供域名和IP地址之間一種相互轉(zhuǎn)換的機制，目的是為了方便人們的記憶和管理。對于計算機來說通過IP地址指向主機很方便，但對于人來說，使用名字會更合適。這就需要使用一個轉(zhuǎn)換表把IP地址轉(zhuǎn)換為主機名，但由于Internet上有數(shù)百萬的計算機并且每天還要有很多新的計算機加入，因此要使每個人都保持最新的轉(zhuǎn)換表是不可能的，于是出現(xiàn)了DNS。域名服務(wù)(DomainNameService，簡稱DNS)是一個系統(tǒng)，通過它，每個站點只需維護它自己范圍內(nèi)的IP地址到計算機名的映射。每個站點把這一映射放入一個可供公開查詢的數(shù)據(jù)庫，因此任何人想查找該站點中對應(yīng)主機名的IP地址時，只需簡單地查詢該站點的數(shù)據(jù)庫。DNS是Internet上一項非常重要的服務(wù)，許多服務(wù)的正常使用都建立在DNS服務(wù)的正確配置上。通常來說，DNS解析服務(wù)分為：正向解析和反向解析。顧名思義，正向解析就是將主機名解析成對應(yīng)的IP，反向解析就是將IP解析成對應(yīng)的主機名。DNS的主要功用包括：.提供email尋路分散網(wǎng)絡(luò)管理有效搜尋域分級管理域名2.2DNS的組織結(jié)構(gòu)2.2.1域和域名DNS域名系統(tǒng)采用分層式的管理結(jié)構(gòu)，每一層的主機只負(fù)責(zé)自己范圍內(nèi)的主機與IP的解析映射關(guān)系。如同一個倒置的數(shù)，這個邏輯上的樹形結(jié)構(gòu)我們稱之為域名空間。正因為DNS劃分了域名空間，所以各主機可以使用自己的域名空間創(chuàng)建DNS信息。通常的結(jié)構(gòu)組織結(jié)構(gòu)如下：域和域名：DNS樹的每個節(jié)點代表一個域，通過這些節(jié)點，對整個域名空間進行劃分，成為一個層次結(jié)構(gòu)。根域一般是指DNS層次結(jié)構(gòu)中總的管理者，目前全世界共13個根域，可以通過/var/named/chroot/var/named/o域名空間的每個域的名字，通過域名進行表示。域名通常由一個完全正式域名（FQDN）標(biāo)識。FQDN能準(zhǔn)確表示出其相對于DNS域樹根的位置，也就是節(jié)點到DNS樹根的完整表述方式，從節(jié)點到樹根采用反向書寫，并將每個節(jié)點用“.”分隔，對于DNS域google來說，其完全正式域名（FQDN）為。2.2.2域名空間域名空間最頂層，DNS根稱為根域（root）o根域的下一層為頂級域，又稱為一級域。其下層為二級域，再下層為二級域的子域，按照需要進行規(guī)劃，可以為多級。所以對域名空間整體進行劃分，由最頂層到下層，可以分成：根域、頂級域、二級域、子域。并且域中能夠包含主機和子域。主機www的FQDN從最下層到最頂層根域進行反寫，表示為。Internet域名空間的最頂層是根域（root），其記錄著Internet的重要DNS信息，由Internet域名注冊授權(quán)機構(gòu)管理，該機構(gòu)把域名空間各部分的管理責(zé)任分配給連接到Internet的各個組織。DNS根域下面是頂級域，也由Internet域名注冊授權(quán)機構(gòu)管理。2.3區(qū)、域及授權(quán)一個域（domain）包含一個完整的分級域名下層樹。區(qū)（zone）是DNS名稱空間的一個連續(xù)部分，其包含了一組存儲在DNS服務(wù)器上的資源記錄。每個區(qū)都位于一個特殊的域節(jié)點，但區(qū)并不是域。DNS域是名稱空間的一個分支，而區(qū)一般是存儲在文件中的DNS名稱空間的某一部分，可以包括多個域。一個域可以再分成幾部分，每個部分或區(qū)可以由一臺DNS服務(wù)器控制。使用區(qū)的概念，DNS服務(wù)器回答關(guān)于自己區(qū)中主機的查詢，它是哪個區(qū)的授權(quán)服務(wù)器。2.4主、輔域名服務(wù)器每個區(qū)必須有主服務(wù)器，另外每個區(qū)至少要有一臺輔助服務(wù)器，否則如果該區(qū)的主服務(wù)器崩潰了，就無法解析該區(qū)的名稱。當(dāng)區(qū)的輔助服務(wù)器啟動時，它與該區(qū)的主控服務(wù)器進行連接并啟動一次區(qū)傳輸，區(qū)輔助服務(wù)器定期與區(qū)主控服務(wù)器通信，查看區(qū)數(shù)據(jù)是否改變。如果改變了，它就啟動一次區(qū)傳輸。輔助服務(wù)器的優(yōu)點：1）容錯能力配置輔助服務(wù)器后，在該區(qū)主服務(wù)器崩潰的情況下，客戶機仍能解析該區(qū)的名稱。一般把區(qū)的主服務(wù)器和區(qū)的輔助服務(wù)器安裝在不同子網(wǎng)上，這樣如果到一個子網(wǎng)的連接中斷，DNS客戶機還能直接查詢另一個子網(wǎng)上的名稱服務(wù)器。2）減少廣域鏈路的通信量如果某個區(qū)在遠程有大量客戶機，用戶就可以在遠程添加該區(qū)的輔助服務(wù)器，并把遠程的客戶機配置成先查詢這些服務(wù)器，這樣就能防止遠程客戶機通過慢速鏈路通信來進行DNS查詢。3）減輕主服務(wù)器的負(fù)載輔助服務(wù)器能回答該區(qū)的查詢，從而減少該區(qū)主服務(wù)器必須回答的查詢數(shù)2.5DNS查詢原理與流程DNS查詢方式（1）遞歸查詢遞歸查詢是一種DNS服務(wù)器的查詢模式，在該模式下DNS服務(wù)器接收到客戶機請求，必須使用一個準(zhǔn)確的查詢結(jié)果回復(fù)客戶機。如果DNS服務(wù)器本地沒有存儲查詢DNS信息，那么該服務(wù)器會詢問其他服務(wù)器，并將返回的查詢結(jié)果提交給客戶機。（2）迭代查詢DNS服務(wù)器另外一種查詢方式為迭代查詢，DNS服務(wù)器會向客戶機提供其他能夠解析查詢請求的DNS服務(wù)器地址，當(dāng)客戶機發(fā)送查詢請求時，DNS服務(wù)器并不直接回復(fù)查詢結(jié)果，而是告訴客戶機另一臺DNS服務(wù)器地址，客戶機再向這臺DNS服務(wù)器提交請求，依次循環(huán)直到返回查詢的結(jié)果為止。DNS查詢流程客戶機提交域名解析請求，并將該請求發(fā)送給本地的域名服務(wù)器。當(dāng)本地的域名服務(wù)器收到請求后，就先查詢本地的緩存。如果有查詢的DNS信息記錄，則直接返回查詢的結(jié)果。如果沒有該記錄，本地域名服務(wù)器就把請求發(fā)給根域名服務(wù)器。根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域的頂級域名服務(wù)器的地址。本地服務(wù)器再向返回的域名服務(wù)器發(fā)送請求。接收到該查詢請求的域名服務(wù)器查詢其緩存和記錄，如果有相關(guān)信息則返回客戶機查詢結(jié)果，否則通知客戶機下級的域名服務(wù)器的地址。本地域名服務(wù)器將查詢請求發(fā)送給返回的DNS服務(wù)器。域名服務(wù)器返回本地服務(wù)器查詢結(jié)果（如果該域名服務(wù)器不包含查詢的DNS信息，查詢過程將重復(fù)6、7步驟，直到返回解析信息或解析失敗的回應(yīng)）。本地域名服務(wù)器將返回的結(jié)果保存到緩存，并且將結(jié)果返回給客戶機。2.5.3DNS域名解析實例假設(shè)客戶機使用電信ADSL接入Internet,電信為其分配的DNS服務(wù)器地址為，域名解析過程如下：1）客戶機向本地的域名服務(wù)器發(fā)送解析請求。2）當(dāng)本地的域名服務(wù)器收到請求后，就先查詢本地的緩存。如果有查詢的DNS信息記錄，則直接返回查詢的結(jié)果。如果沒有該記錄，本地域名服務(wù)器就把解析請求發(fā)給根域名服務(wù)器。3）根域名服務(wù)器收到請求后，根據(jù)完全正式域名FQDN，判斷該域名屬于com域，查詢所有的com域DNS服務(wù)器的信息，并返回給本地域名服務(wù)器。4）本地域名服務(wù)器收到回應(yīng)后，先保存返回的結(jié)果，再選擇一臺com域的域名服務(wù)器，向其提交解析域名的請求。5）com域名服務(wù)器接收到該查詢請求后，判斷該域名屬于域，通過查詢本地的記錄，列出管理google域的域名服務(wù)器信息，然后將查詢結(jié)果返回給本地的域名服務(wù)器。6）本地域名服務(wù)器收到回應(yīng)后，先緩存返回的結(jié)果，再向域的服務(wù)器發(fā)出請求解析域名的數(shù)據(jù)包。7）域名服務(wù)器收到請求后，查詢DNS記錄中的www主機的信息，并將結(jié)果返回給本地服務(wù)器。8）本地域名服務(wù)器將返回的查詢結(jié)果保存到緩存，并且將結(jié)果返回給客戶機。2.6資源記錄1）SOA資源記錄每個區(qū)在區(qū)的開始處都包含了一個起始授權(quán)記錄（StartofAuthorityRecord），簡稱SOA記錄。SOA定義了域的全局參數(shù)，進行整個域的管理設(shè)置。一個區(qū)域文件只允許存在唯一的SOA記錄。2）NS資源記錄名稱服務(wù)器（NS）資源記錄表示該區(qū)的授權(quán)服務(wù)器，它們表示SOA資源記錄中指定的該區(qū)的主和輔助服務(wù)器，也表示了任何授權(quán)區(qū)的服務(wù)器。每個區(qū)在區(qū)根處至少包含一個NS記錄。3）A資源記錄地址（A）資源記錄把FQDN映射到IP地址，因而解析器能查詢FQDN對應(yīng)的IP地址。4）PTR資源記錄相對于A資源記錄，指針（PTR）記錄把IP地址映射到FQDN。5）CNAME資源記錄規(guī)范名字（CNAME）資源記錄創(chuàng)建特定FQDN的別名。用戶可以使用CNAME記錄來隱藏用戶網(wǎng)絡(luò)的實現(xiàn)細(xì)節(jié)，使連接的客戶機無法知道。6）MX資源記錄郵件交換（MX）資源記錄為DNS域名指定郵件交換服務(wù)器。郵件交換服務(wù)器是為DNS域名處理或轉(zhuǎn)發(fā)郵件的主機。處理郵件指把郵件投遞到目的地或轉(zhuǎn)交另一不同類型的郵件傳送者。轉(zhuǎn)發(fā)郵件指把郵件發(fā)送到最終目的服務(wù)器，用簡單郵件傳輸協(xié)議SMTP把郵件發(fā)送給離最終目的地最近的郵件交換服務(wù)器，或使郵件經(jīng)過一定時間的排隊。2.7DNS服務(wù)器的配置DNS服務(wù)側(cè)寫B(tài)IND：BerkeleyInternetNameDaemon，BIND是在Internet上應(yīng)用最為廣泛的DNS服務(wù)器假設(shè)軟件。提供穩(wěn)定與可信賴的下層結(jié)構(gòu)以提供域名與IP地址的轉(zhuǎn)換。在整個DNS的配置過程中，我們最好是把配置文件都放在chroot環(huán)境下，這樣對DNS服務(wù)器有很大的安全性考慮。chroot環(huán)境是在/var/named/chroot目錄下。后臺進程：named腳本：/etc/named使用端口：53（tcp，udp）所需RPM包：bind，bind-utils相關(guān)RPM包：bindconf，caching-nameserver，bind-chroot配置文件：/var/named/chroot/etc/?相關(guān)路徑：/var/named/*DNS服務(wù)器的配置1.在配置DNS服務(wù)器之前，我們第一步需要做的是把DNS服務(wù)器所需要的軟件包裝上。安裝好軟件包后一定要chkconfignamedon保證服務(wù)永久生效。如下所示：[root@test~]#yuminstall-ybindbind-chrootcaching-nameserverLoadedplugins:rhnplugin,securityThissystemisnotregisteredwithRHN.RHNsupportwillbedisabled.rhel-debuginfo|kB00:00rhel-debuginfo/primary|845kB00:00rhel-debuginfo3040/3040SettingupInstallProcessResolvingDependencies

-->Runningtransactioncheck-->FinishedDependencyResolutionDependenciesResolvedPackageArchVersionRepositorySize2.定義默認(rèn)的主配置文件/var/named/chroot/網(wǎng)上很多配置都是自己去配置默認(rèn)的/etc/,這種方式可以是可以，但是對于初學(xué)者來說，去自己根據(jù)配置文件的語法定義^tc/文件是有非常大的難度。默認(rèn)情況下這個是沒有的，在安裝好軟件包后系統(tǒng)中只W/var/named/chroot/etc/^個文件，我個人的建議通過將這個文件拷貝成/etc/文件，這樣的話，配置文件中的語法我們就不用顧忌那么多。[root@test~]#cp-p/PackageArchVersionRepositorySize2.定義默認(rèn)的主配置文件/var/named/chroot/網(wǎng)上很多配置都是自己去配置默認(rèn)的/etc/,這種方式可以是可以，但是對于初學(xué)者來說，去自己根據(jù)配置文件的語法定義^tc/文件是有非常大的難度。默認(rèn)情況下這個是沒有的，在安裝好軟件包后系統(tǒng)中只W/var/named/chroot/etc/^個文件，我個人的建議通過將這個文件拷貝成/etc/文件，這樣的話，配置文件中的語法我們就不用顧忌那么多。[root@test~]#cp-p//var/named/chroot/etc/[root@test~]#vim/var/named/chroot/etc/listen-onport53(any;};allow-query{any;};match-clients{any;};match-destinations{any;};3.配置正向解析區(qū)域i.建立正向解析的區(qū)域文件，切記在配置的時候，域名結(jié)尾一定要有.。[root@test~]#cd/var/named/chroot/var/named/[root@testnamed]#lsslaves此處的配置文件內(nèi)容和一樣的，所以寫哪個都一樣zone""IN{typemaster;allow-update{none;};};ii.添加正向解析記錄$TTL864003H;refresh1D);minimum$GENERATE73-79$PTRtest$4.配置反向解析區(qū)域15M1W;retry;expiry[root@test~]#cd/var/named/chroot/var/named/[root@testnamed]#Isslaves[root@testnamed]#cp-pexampletypemaster;allow-update{none;};};$TTL86400ii.添加反向解析記錄3H;refresh15M;retry1W$TTL86400ii.添加反向解析記錄3H;refresh15M;retry1W;expiry;minimum1D);minimum;minimum$GENERATE73-79$PTRtest$..2.7.3配置時的注意點1）當(dāng)我們配置好正向解析區(qū)域和反向解析區(qū)域后，一定要檢查每一個域名和主機域名（FQDN）后是否有加上.號。點號是代表是根域的意思，所以這個符號一定要加上去。2）在我們拷貝一個模板文件的時候，一定要使用-p參數(shù)，可以保留原來文件的權(quán)限和所屬關(guān)系不變?！啊?。3）正向記錄文件和反向記錄文件中有一個批量添加記錄的參^GENERATE，這個參數(shù)的語法比較特殊：正向的時候反向的時候$GENERATE73-79$PTRtest$..4）這個文件中的正向和反向區(qū)域文件的名稱沒有規(guī)定性，只要和/var/named/chroot/var/named目錄中的區(qū)域記錄文件名稱一直即可。2.7.4服務(wù)的檢查和重啟?服務(wù)的檢查分別檢查DNS服務(wù)器的主配置文件和區(qū)域解析記錄文件是否有配置錯誤。[root@test?]#named-checkconf/var/named/chroot/etc/OKOK?服務(wù)的重啟[root@test?]#/etc/namedrestart

Stoppingnamed:[OK]Startingnamed:[OK][root@test~]#/etc/namedconfigtestzonelocaldomain/IN:loadedserial42zonelocalhost/IN:loadedserial42zoneloadedserial42zoneloadedserial422作為DNS服務(wù)器的客戶端，通常我們只需要配置/etc/，文件中一般只需要設(shè)置兩行參數(shù)：search2作為DNS服務(wù)器的客戶端，通常我們只需要配置/etc/，文件中一般只需要設(shè)置兩行參數(shù)：search，找尋的DNS域；nameserver，DNS服務(wù)器的IP?？蛻舳说臋z測[root@test~]#nslookuptest1Server:Address:Name:test3Server:Address:Name:>wwwServer:Address:Name:Server:Address:3DHCP服務(wù)器的配置3.1DHCP的基本概念DHCP(DynamicHostConfigurationProtocal)就是動態(tài)主機配置協(xié)議，可以自動配置主機的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)及DNS等TCP/IP信息。所以DHCP可以有效地降低客戶端IP地址配置的復(fù)雜度和網(wǎng)絡(luò)的管理成本。如果路由器能夠轉(zhuǎn)發(fā)DHCP請求，只需要在一個子網(wǎng)中配置DHCP服務(wù)器就可以向其他子網(wǎng)提供TCP/IP配置的服務(wù)支持。DHCP的應(yīng)用環(huán)境：DHCP主要應(yīng)用在以下兩個應(yīng)用環(huán)境，一個就是局域網(wǎng)中存在大量主機，第二種就是局域網(wǎng)中存在比較多的移動辦公設(shè)備。DHCP術(shù)語DHCP服務(wù)器：配置DHCP服務(wù)的計算機DHCP客戶端：啟用DHCP設(shè)置的計算機作用域：一個完整連續(xù)的可用IP地址范圍，DHCP服務(wù)主要就是通過作用域來管理網(wǎng)絡(luò)分布、IP地址分配及其他相關(guān)配置參數(shù)。超級作用域：管理級的作用域集合，用于支持同一物理網(wǎng)絡(luò)上的多個邏輯IP子網(wǎng)。超級作用域包含子作用域的列表，對子作用域進行統(tǒng)一管理。排除范圍：排除范圍是作用域內(nèi)從DHCP服務(wù)中排除的有限IP地址序列。排除范圍確保在這些范圍中的任何地址都不是由網(wǎng)絡(luò)上的服務(wù)器提供給DHCP客戶機的。地址池：在定義DHCP作用域并應(yīng)用排除范圍之后，剩余的地址在作用域內(nèi)形成可用地址池，也就是作用域中包含的可用IP地址范圍哈，地址池中的地址可以由DHCP服務(wù)器動態(tài)分配給DHCP客戶機。租約：客戶計算機可以使用動態(tài)分配的IP地址的時間，這個時間可以由DHCP服務(wù)器設(shè)定哈。當(dāng)向一臺客戶機發(fā)出租約后，此租約就被看作是活動的，在租約終止前，客戶機可以向DHCP服務(wù)器更新其租約。當(dāng)租約到期或被服務(wù)器刪除后，它就變成不活動的了，租約持續(xù)時間決定了租約什么時候終止及客戶機隔多久向DHCP服務(wù)器更新其租約。預(yù)約：創(chuàng)建從DHCP服務(wù)器到客戶機的永久地址租約指定，預(yù)約可以保證子網(wǎng)上的特定硬件設(shè)備總是使用相同的IP地址，這對于遠程訪問網(wǎng)關(guān)、DNS服務(wù)器等必須要配置IP地址的計算機非常有用。選項類型:DHCP服務(wù)器向DHCP客戶機提供租約服務(wù)時可以指定的其他客戶機配置參數(shù)。典型地這些選項類型由各個作用域啟用和配置。雖然大多數(shù)選項都是在RFC2132中預(yù)定義了，但若需要的話，我們還是可以使用DHCP管理器定義并添加自定義選項類型。選項類別：DHCP服務(wù)用于進一步提供給客戶機的選項類型的方法。選項類別可以在用戶的DHCP服務(wù)器上配置以提供特定的客戶機支持。當(dāng)一個選項類別添加到服務(wù)器后，就可以為該類別的客戶機配置提供特定類別的選項類型。DHCP工作原理基本請求分為四個大步驟：clientsendDHCPDISCOVERY廣播數(shù)據(jù)包所有的server回應(yīng)DHCPOFFER數(shù)據(jù)包clientsendDHCPREQUEST數(shù)據(jù)包選擇dhcpserver并確定ipserver回應(yīng)DHCPACK數(shù)據(jù)包確立與該client的連接、DHCP服務(wù)側(cè)寫后臺進程：dhcpd?腳本：/etc/dhcpd使用端口：67（bootps），68（bootpc）所需RPM包：dhcp*相關(guān)RPM包：配置文件：/etc/日志：/var/log/messagesDHCP服務(wù)器的配置DHCP服務(wù)器配置的第一步類似于所有其他的服務(wù)器，我們需要先把服務(wù)需要的軟件包裝起來。如：[root@testcacti~]#yuminstall-ydhcpLoadedplugins:rhnplugin,securityThissystemisnotregisteredwithRHN.RHNsupportwillbedisabled.SettingupInstallProcessResolvingDependencies-->Runningtransactioncheck-->FinishedDependencyResolutionDependenciesResolvedPackageArchVersionRepositorySizeInstalling:TransactionSummaryInstall1Package(s)Update0Package(s)Remove0Package(s)Totaldownloadsize:882kDownloadingPackages:Runningrpm_check_debugRunningTransactionTestFinishedTransactionTestTransactionTestSucceededRunningTransactionInstalling:dhcp1/1Installed:Complete!默認(rèn)情況下，我們裝好服務(wù)器軟件包后，配置文偉etc/是空的，需要我們從系統(tǒng)提示的地方拷貝模板文件變成/etc/。如：[root@testcacti~]#vim/etc/#DHCPServerConfigurationfile.#cp:overwrite'/etc/'y[root@testcacti?]#vim/etc/#常用配置文件信息如下ddns-update-styleinterim;ignoreclient-updates;defaultgatewayoptiondomain-name"";default-lease-time21600;max-lease-time43200;#wewantthenameservertoappearatafixedaddresshostns(hardwareethernet12:34:56:78:AB:CD;}}3.6/etc/配置文件介紹主配置文件組成部分parameters（參數(shù)）declarations（聲明）option（選項）主配置文件整體框架包括全局配置和局部配置。全局配置可以包含參數(shù)或選項，該部分對整個DHCP服務(wù)器生效。局部配置通常由聲明部分來表示，該部分僅對局部生效，比如只對某個IP作用域生效哈?文件格式：#全局配置參數(shù)或選項；#全局生效#局部配置聲明{參數(shù)或選項；#局部生效}常用參數(shù)介紹參數(shù)主要用于設(shè)置服務(wù)器和客戶端的動作或者是否執(zhí)行某些任務(wù)，比如設(shè)置IP地址租約時間、是否檢查客戶端所用的IP地址等等。（1）ddns-update-style（none|interim|ad-hoc）作用：定義所支持的DNS動態(tài)更新類型none:表示不支持動態(tài)更新interim:表示DNS互動更新模式ad-hoc：表示特殊DNS更新模式注意：這個選項是必選參數(shù)，配置文件中必須包含這一個參數(shù)并且要放在第一行。（2）ignoreclient-updates作用：忽略客戶端更新注意：這個參數(shù)只能在服務(wù)器端使用。（3）default-lease-timenumber（數(shù)字）作用：定義默認(rèn)IP租約時間（4）max-lease-timenumber（數(shù)字）作用：定義客戶端IP租約時間的最大值注意：（3）、（4）都是以秒為單位的租約時間，該項參數(shù)可以作用在全局配置中，也可以作用在局部配置中。常用聲明介紹聲明一般用來指定IP作用域、定義為客戶端分配的IP地址池等等哈?聲明格式如下：聲明{選項或參數(shù)；}常見聲明的使用如下：（1）subnet網(wǎng)絡(luò)號netmask子網(wǎng)掩碼{}作用:定義作用域，指定子網(wǎng)注意：網(wǎng)絡(luò)號必須與DHCP服務(wù)器的網(wǎng)絡(luò)號相同（2）range起始IP地址結(jié)束IP地址作用：指定動態(tài)IP地址范圍注意：可以在subnet聲明中指定多個range，但多個range所定義IP范圍不能重復(fù)常用選項介紹選項通常用來配置DHCP客戶端的可選參數(shù)，比如定義客戶端的DNS地址、默認(rèn)網(wǎng)關(guān)等等。選項內(nèi)容都是以option關(guān)鍵字開始滴?常見選項使用如下：（1）optionroutersIP地址作用：為客戶端指定默認(rèn)網(wǎng)關(guān)（2）optionsubnet-mask子網(wǎng)掩碼作用：設(shè)置客戶端的子網(wǎng)掩碼（3）optiondomain-name-serversIP地址作用：為客戶端指定DNS服務(wù)器地址注意：（1）、（2）、（3）選項可以用在全局配置中，也可以用在局部配置中?；镜腄HCP服務(wù)器配置常見的DHCP服務(wù)器配置很簡單，只需要改如下幾個參數(shù)即可。如：[root@testcacti~]#vim/etc/ddns-update-styleinterim;ignoreclient-updates;#此處填入DHCPSERVER的IPoptiondomain-name"";#如果網(wǎng)絡(luò)內(nèi)沒有DNSserver此處可以不用填#IP地址池范圍default-lease-time21600;max-lease-time43200;#wewantthenameservertoappearatafixedaddress#此處是設(shè)置綁定IP與MAC地址hostns(hardwareethernet12:34:56:78:AB:CD;}}3.7DHCP服務(wù)的重啟與檢查當(dāng)我們配置好DHCPSERVER后，我們還要去檢查DHCPSERVER的配置文件是否正確。具體的檢查方法如下：[root@testcacti~]#/etc/dhcpdconfigtestSyntax:OK[root@testcacti~]#dhcpdCopyright2004-2006InternetSystemsConsortium.Allrightsreserved.WARNING:Hostdeclarationsareglobal.Theyarenotlimitedtothescopeyoudeclaredthemin.Wrote0deletedhostdeclstoleasesfile.Wrote0newdynamichostdeclstoleasesfile.Wrote0leasestoleasesfile.SendingonSocket/fallback/fallback-netDHCPSERVER服務(wù)的開啟和停止，也和DNS等其他服務(wù)類似。具體方法如下:[root@testcacti~]#/etc/dhcpdrestartShuttingdowndhcpd:[OK]Startingdhcpd:[OK][root@testcacti~]#chkconfigdhcpdon#這一步是為了保證DHCP服務(wù)永久生效一般DHCPSERVER會有一個IP信息租賃文件，如果客戶端太多，有時候我們需要手動清除不用的IP租賃信息，可以編輯此文件/var/lib/dhcpd/，刪除其中的某一個租賃字段即可。4NTP服務(wù)器的配置4.1NTP服務(wù)器的搭建在實際項目實施過程中，我們經(jīng)常碰到需要新建一個NTP服務(wù)器進行對時的問題。通常按照以下步驟去新建一個NTP服務(wù)器：vi/etc/restrictdefaultkodnomodifynotrapnopeernoqueryrestrict-6defaultkodnomodifynotrapnopeernoqueryanonymous_enable=NO——禁用匿名用戶登錄Youmayspecifyanexplicitlistoflocaluserstochroot()totheirhomedirectory.Ifchroot_local_userisYES,thenthislistbecomesalistofuserstoNOTchroot().#chroot_list_enable=YES(defaultfollows)#chroot_list_file=/etc/vsftpd/chroot_listlocal_root=/OAFTP限制普通用戶登錄ftp服務(wù)器后，只能在/OAFTP目錄下>新建用戶及FTP共享目錄useraddoauserechooauser|passwd--stdinoausermkdir/OAFTPchmod-Ro=rwx/OAFTP>重啟ftp服務(wù)應(yīng)用更改[root@testlinux?]#/etc/vsftpdrestartShuttingdownvsftpd:[FAILED]Startingvsftpdforvsftpd:[OK]>測試驗證[root@yx?]#ftplocalhostConnectedto.530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(localhost:root):oauser331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/OAFTP”ftp>ls227EnteringPassiveMode(127,0,0,1,50,229)150Herecomesthedirectorylisting.drwxr-xrwx25015014096Jun1912:03testDirectorysendOK.ftp>mkdirtest123257"/OAFTP/test123"createdftp>cdtest123250Directorysuccessfullychanged.ftp>touchfiletestInvalidcommandftp>!lsftp>putlocal:remote:EnteringPassiveMode(127,0,0,1,237,215)150Oktosenddata.FilereceiveOK.47798bytessentinseconds+05Kbytes/s)ftp>lsEnteringPassiveMode(127,0,0,1,183,51)150Herecomesthedirectorylisting.-rw-r--r--150150147798Jun1913:03226DirectorysendOK.ftp>4.2用戶隔離配置(每個用戶使用單獨的共享目錄)該配置基于vsftpd默認(rèn)的軟件包，不需要額外安裝rpm包。首先新建需要使用ftp服務(wù)的用戶并配置其密碼：可以[root@testlinux?]#useradd-d/ftpdir1-s/sbin/nologinftpuser1——指定用戶的家目錄在/ftpdir1下，根據(jù)需要將該目錄更換成其他目錄可以[root@testlinux?]#useradd-d/ftpdir2-s/sbin/nologinftpuser2[root@testlinux?]#echopassword|passwd--stdinftpuser1Changingpasswordforuserftpuser1.passwd:allauthenticationtokensupdatedsuccessfully.[root@testlinux~]#echopassword|passwd--stdinftpuser2Changingpasswordforuserftpuser2.passwd:allauthenticationtokensupdatedsuccessfully.注：上述命令中，’echopassword|passwd--stdinftpuser1’該命令是以標(biāo)準(zhǔn)輸入的方式將password這8個字符通過管道符傳遞給passwd命令，然后由passwd命令修改ftpuser1用戶的密碼為passwordo編輯/etc/vsftpd/打開FTP服務(wù)器默認(rèn)的配置文件/etc/vsftpd/,按照如下配置，啟用chroot參數(shù)，通過該配置，可以將用戶登錄到ftp服務(wù)器后，限定在該用戶的家目錄下。[root@testlinux~]#vim/etc/vsftpd/#listen_ipv6=YESYoumayspecifyanexplicitlistoflocaluserstochroot()totheirhomedirectory.Ifchroot_