項目7 網(wǎng)絡服務配置與管理

項目7網(wǎng)絡服務配置與管理Linux網(wǎng)絡操作系統(tǒng)項目式教程（第二版）任務11Samba服務概述Samba服務配置與管理2Samba服務端配置3Samba客戶端驗證1Samba服務概述1Samba的由來Samba服務概述早期共享文件使用FTP服務，不能直接修改服務器上的文件FTP要求先把文件下載到本機，修改后再提交到服務器解決方案：Windows：通用網(wǎng)絡文件系統(tǒng)（CommonInternetFileSystem，CIFS）UNIX：網(wǎng)絡文件系統(tǒng)（NetworkFileSystem，NFS）1Samba工作原理Samba服務概述Samba基于NetBIOS協(xié)議，在小型局域網(wǎng)內(nèi)部進行網(wǎng)絡通信根據(jù)NetBIOS協(xié)議，主機必須有一個唯一的名字，即NetBIOSNameNetBIOS協(xié)議的通過包括兩個步驟加入到相同的群組并登錄對方主機根據(jù)擁有的權限訪問共享資源Samba使用兩個守護進程實現(xiàn)主機的通信nmbd：負責名稱解析及文件瀏覽，工作在137,138/UDP端口smbd：提供文件和打印機共享及用戶驗證服務，工作在139,445/TCP端口1Samba聯(lián)機模式－對等模式Samba服務概述各臺主機之間沒有主從關系，彼此獨立每臺主機都獨立地管理自己的賬號和密碼在主機A上輸入主機B的賬號和密碼，并交由主機B進行賬戶驗證主機多了會有什么問題？1Samba聯(lián)機模式－主控模式Samba服務概述所有主機的賬號和密碼都保存在主域控制器（PrimaryDomainController，PDC）上主域控制器進行用戶驗證，并根據(jù)驗證結(jié)果給予用戶適當?shù)脑L問權限所有的驗證操作都交給主域控制器2Samba服務端配置2Samba安裝與啟停Samba服務端配置軟件名稱：samba后臺守護進程：smb[root@centos7~]#yuminstallsamba-y //一鍵安裝Samba[root@centos7~]#rpm-qa|grepsamba //安裝后再次查看samba-4.10.16-5.el7.x86_64samba-client-libs-4.10.16-5.el7.x86_64systemctlstart|stop|restart|status|enablesmb2Samba服務器的搭建步驟Samba服務端配置安裝Samba軟件配置Samba服務端創(chuàng)建共享目錄添加Samba用戶啟動Samba服務在Samba客戶端訪問共享資源2Samba主配置文件－smb.confSamba服務端配置位于/etc/samba目錄參數(shù)配置的基本格式是“參數(shù)名=參數(shù)值”以“#”開頭的行表示注釋以“;”開頭的行表示Samba參數(shù)，可忽略[global]workgroup=SAMBAsecurity=user[homes]comment=HomeDirectoriesvalidusers=%S,%D%w%S2Samba主配置文件－全局參數(shù)Samba服務端配置全局參數(shù)的配置對整個Samba服務器有效“[global]”之后的部分表示全局參數(shù)Samba全局參數(shù)功能說明workgroup=工作組名稱設置工作組名稱，使用Samba服務的主機的工作組名稱要相同netbiosname=NetBIOSName同一工作組內(nèi)的主機擁有唯一的NetBIOSNameserverstring=服務器描述信息默認顯示Samba版本，改為有實際意義的服務器描述信息interfaces=網(wǎng)絡接口指定Samba監(jiān)聽哪些網(wǎng)絡接口hostsallow=允許主機列表設置主機白名單，白名單里的主機可以訪問Samba服務器資源hostsdeny=禁止主機列表設置主機黑名單，黑名單里的主機禁止訪問Samba服務器資源logfile=日志文件名設置Samba服務器上日志文件的存儲位置和日志文件名稱maxlogsize=最大容量設置日志文件的最大容量，以KB為單位，值為0表示不做限制security=安全性級別設置Samba客戶端的身份驗證方式2Samba主配置文件－共享參數(shù)Samba服務端配置共享參數(shù)用來設置共享域的屬性共享域的格式是“[共享名]”，表示共享資源對外顯示的名稱Samba共享參數(shù)功能說明comment共享目錄的描述信息path共享目錄的絕對路徑browseable共享目錄是否可以瀏覽public是否允許用戶匿名訪問共享目錄readonly共享目錄是否只讀writable共享目錄是否可寫validusers允許訪問Samba服務的用戶和組invalidusers禁止訪問Samba服務的用戶和組readlist對共享目錄只有讀權限的用戶和組writelist可以在共享目錄內(nèi)進行寫操作的用戶和組hostsallow允許訪問該Samba服務器的主機IP或網(wǎng)絡hostsdeny不允許訪問該Samba服務器的主機IP或網(wǎng)絡[docs]comment=PublicResourcepath=/ito/pubbrowseable=yeswritable=noadminusers=ssvalidusers=@ito2Samba主配置文件－參數(shù)變量Samba服務端配置參數(shù)變量就是“占位符”，會被實際的參數(shù)值取代Samba參數(shù)變量功能說明%S當前服務名%LSamba服務器的NetBIOSName%mSamba客戶端的NetBIOSName%hSamba服務器的主機名（hostname）%MSamba客戶端的主機名（hostname）%HSamba用戶的主目錄%ISamba客戶端的IP地址%U當前連接Samba服務的用戶名%g當前用戶所屬的用戶組%D當前用戶所屬的域或工作組名稱%TSamba服務器的日期與時間%vSamba服務器的版本[homes]comment=HomeDirectorybrowseable=nowritable=yesvalidusers=%S2添加Samba用戶Samba服務端配置Samba用戶必須對應一個同名的Linux系統(tǒng)用戶先創(chuàng)建Linux用戶，然后使用smbpasswd命令添加Samba用戶[root@centos7~]#useraddsmbuser[root@centos7~]#passwdsmbuser新的密碼：

重新輸入新的密碼：

passwd：所有的身份驗證令牌已經(jīng)成功更新。[root@centos7~]#smbpasswd-asmbuserNewSMBpassword:RetypenewSMBpassword:Addedusersmbuser.smbpasswd[-axden][用戶名]選項功能說明-a增加Samba用戶并設置密碼-x刪除Samba用戶-d凍結(jié)Samba用戶-e解凍（恢復）Samba用戶-n將Samba用戶密碼置空密碼可以不同3Samba客戶端驗證3Linux客戶端驗證－smbclientSamba客戶端驗證yuminstallsamba-client-y[zys@smbcli~]$smbclient//00/docs-UzsuserEnterSAMBA\zsuser'spassword: <==輸入zsuser的Samba密碼smb:\>putfile1 <==上傳測試文件smb:\>ls <==查看服務器中文件file1A0SunDec419:41:552022smb:\>quit <==退出交互環(huán)境3Windows客戶端驗證－方式一Samba客戶端驗證依次選擇【開始】→【附件】→【運行】選項，彈出【運行】對話框，在【打開】文本框中輸入Samba服務器的訪問路徑3Windows客戶端驗證－方式二Samba客戶端驗證右擊桌面上的【計算機】圖標，在彈出的快捷菜單中選擇【映射網(wǎng)絡驅(qū)動器】選項或者雙擊【計算機】圖標，選擇【工具】→【映射網(wǎng)絡驅(qū)動器】選項。彈出【映射網(wǎng)絡驅(qū)動器】對話框，輸入Samba服務器共享資源的路徑任務21NFS服務概述NFS服務配置與管理2NFS服務端配置3NFS客戶端驗證1NFS服務概述1NFS服務概述NFS服務概述網(wǎng)絡文件系統(tǒng)：NetworkFileSystem主流的異構平臺共享文件系統(tǒng)，支持用戶在不同的系統(tǒng)之間通過網(wǎng)絡共享文件NFS服務器是文件資源的實際存放地，NFS客戶端能夠像訪問本地資源一樣訪問NFS服務器中的文件資源提供透明文件訪問以及文件傳輸服務能發(fā)揮數(shù)據(jù)集中的優(yōu)勢，降低NFS客戶端的存儲空間需求配置靈活，性能優(yōu)異，能夠根據(jù)不同的應用需要靈活調(diào)整2NFS服務端配置NFS安裝與啟停軟件名稱：nfs-utils后臺守護進程：nfs[root@centos7~]#yuminstallrpcbind-y //NFS依賴RPC服務[root@centos7~]#yuminstallnfs-utils-y[root@centos7~]#rpm-qa|grep-E'rpcbind|nfs-utils‘ //安裝后檢查nfs-utils-1.3.0-0.61.el7.x86_64rpcbind-0.2.0-47.el7.x86_64systemctlstart|stop|restart|status|enablenfs2NFS服務端配置2NFS主配置文件－/etc/exportsNFS服務端配置每一行代表一個共享目錄，包括共享目錄、客戶端和選項3部分共享目錄：用絕對路徑表示的共享目錄名客戶端：一個或多個客戶端，有多種表示方式選項：表示NFS服務器為NFS客戶端提供的共享選項，也就是允許客戶端以何種方式使用共享目錄[root@centos7~]#vim/etc/exports/datashare0(rw,sync,no_sub_tree)/24(ro)共享目錄客戶端1(選項1)客戶端2(選項2)…客戶端2(選項3)2NFS主配置文件－客戶端表示方式NFS服務端配置客戶端有多種表示方式，可以是單臺主機的實際IP地址或IP網(wǎng)段，也可以是完整主機名或域名。其中，主機名還可以使用通配符客戶端表示方式含義0指定IP地址對應的客戶端/24指定IP網(wǎng)段下的所有客戶端指定完整主機名對應的客戶端*.指定域名下的所有客戶端2NFS主配置文件－選項NFS服務端配置對于同一共享目錄，可以為不同的客戶端設定不同的共享選項多個共享選項用逗號進行分隔2NFS相關命令－exportfsNFS服務端配置使用exportfs命令在不重啟服務的情況下應用新配置選項功能說明-a打開或取消所有目錄共享-r重新讀取/etc/exportfs文件中的配置并使其立即生效-v當共享或者取消共享時，輸出詳細信息-u取消一個或多個目錄的共享exportfs[-arvu]2NFS相關命令－showmountNFS服務端配置顯示NFS服務器文件系統(tǒng)的掛載信息選項功能說明-a顯示連接到某NFS服務器的客戶端主機名和掛載點目錄-d僅顯示被客戶端掛載的目錄名-e顯示NFS服務器的共享目錄清單showmount[-ade]3NFS客戶端驗證3NFS客戶端驗證NFS客戶端驗證手動掛載：使用mount命令，掛載NFS共享目錄mount-tnfs00:/webdata/nfsdata自動掛載：修改/etc/fstab文件，掛載NFS共享目錄00:/webdata/nfsdatanfsdefaults00任務31DHCP服務概述DHCP服務配置與管理2DHCP服務端配置3DHCP客戶端驗證1DHCP服務概述1DHCP的功能DHCP服務概述IP地址分配更加安全可靠非常適合移動辦公環(huán)境減輕網(wǎng)絡管理員的管理負擔緩解IP地址資源緊張的問題1DHCP的工作過程DHCP服務概述DHCP客戶端以廣播方式發(fā)送一個DHCP發(fā)現(xiàn)報文DHCP服務器收到DHCP發(fā)現(xiàn)報文后，從IP地址池中選取一個未租用的IP地址，以DHCP提供報文的形式廣播發(fā)送給DHCP客戶端DHCP客戶端收到DHCP提供報文后，以廣播方式向DHCP服務器發(fā)送DHCP請求報文被選擇的DHCP服務器收到DHCP請求報文后，以廣播方式向DHCP客戶端發(fā)送一個DHCP確認報文2DHCP服務端配置DHCP安裝與啟停軟件名稱：dhcp后臺守護進程：dhcpd[root@centos7~]#yuminstalldhcp-y //一鍵安裝DHCP軟件[root@centos7~]#rpm-qa|grepdhcp

//安裝后再次檢查dhcp-4.2.5-68.el7.centos.1.x86_64dhcp-common-4.2.5-68.el7.centos.1.x86_64dhcp-libs-4.2.5-68.el7.centos.1.x86_64systemctlstart|stop|restart|status|enabledhcpd2DHCP服務端配置2主配置文件－/etc/dhcp/dhcpd.confDHCP服務端配置注釋信息以“#”開頭，可以出現(xiàn)在文件的任意位置除了右大括號“}”之外，其他每一行都以“;”結(jié)尾包括參數(shù)、選項和聲明三種要素#全局配置參數(shù)或選項;

#局部配置聲明{

參數(shù)或選項;}參數(shù)：主要用來設定DHCP服務器和客戶端的基本屬性，格式是“參數(shù)名參數(shù)值;”選項：配置分配給DHCP客戶端的可選網(wǎng)絡參數(shù)，以“option”關鍵字開頭，如“option參數(shù)名參數(shù)值;”聲明：以某個關鍵字開頭，后跟一對大括號，用來設置IP地址空間，以及綁定IP地址和DHCP客戶端MAC地址2主配置文件－聲明DHCP服務端配置subnet聲明用于定義IP地址空間host聲明實現(xiàn)IP地址和DHCP客戶端MAC地址的綁定，用于為DHCP客戶端分配固定的IP地址subnet

subnet_id

netmask

netmask{

……}

host

hostname{

……}2主配置文件－參數(shù)和選項DHCP服務端配置通過不同的參數(shù)和選項為聲明指定具體的行為參數(shù)或選項說明rangeIP地址池地址范圍default-lease-time默認租約時間max-lease-time最大租約時間optiondomain-nameDNS域名optiondomain-name-servers域名服務器optionrouters默認網(wǎng)關optionbroadcast-address子網(wǎng)廣播地址fixed-address為客戶端分配的固定IP地址hardwareDHCP客戶端的MAC地址server-nameDHCP服務器的主機名[root@appsrv~]#vim/etc/dhcp/dhcpd.confsubnetnetmask{range9;range0100;optionrouters54;optiondomain-name"";optiondomain-name-servers00;}

hostclient1{hardwareethernet00:0C:29:B3:41:89;fixed-address88;}3DHCP客戶端驗證3DHCP客戶端驗證－Windows客戶端DHCP客戶端驗證3DHCP客戶端驗證－Linux客戶端DHCP客戶端驗證在網(wǎng)卡配置文件中設置DHCP獲取IP地址，重啟網(wǎng)絡服務[root@dhcpcli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=dhcp#IPADDR=00#PREFIX=24#GATEWAY=#DNS1=[root@dhcpcli~]#systemctlrestartnetwork[root@dhcpcli~]#ifconfigens33ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet

netmask

broadcast55任務41DNS服務概述DNS服務配置與管理2DNS服務端配置3DNS客戶端驗證1DNS服務概述1主機名和域名DNS服務概述域名：由一串用點號分隔的名稱組成的命名空間的名稱主機名：計算機在局域網(wǎng)中的唯一的名稱域名空間是分級的，最上面一層被稱為根域，用“.”表示從根域向下依次劃分為頂級域、二級域等子域，最下面一級是主機完全限定域名（FullyQualifiedDomainName，F(xiàn)QDN）是計算機的主機名和域名的組合FQDN主機名域名1域名解析歷史DNS服務概述早期，在文件中保存域名和IP地址的對應關系，內(nèi)容更新不靈活現(xiàn)在，基于分布式數(shù)據(jù)庫的域名系統(tǒng)（DomainNameSystem，DNS），將域名解析的功能分散到不同層級的DNS服務器中，可靠性和靈活性較高[zys@centos7~]$cat/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain61DNS工作原理－分級管理DNS服務概述DNS域名空間是分級的，DNS服務器也是分級每一個DNS服務器只記錄管理它的下一級域名的各個DNS服務器的IP地址根域位于最頂層，管理根域的DNS服務器稱為根域服務器頂級域位于根域的下一層，頂級域服務器負責管理頂級域名的解析，如.com、.org、.gov、.cn、.usDNS把域名的解析權限層層向下授權給下一級DNS服務器，即分級管理1DNS服務器類型DNS服務概述主DNS服務器（Primary?Name?Server）對它所管理區(qū)域的域名解析提供最權威和最精確的響應，是所管理區(qū)域域名信息的初始來源從DNS服務器（Secondary?Name?Server）主DNS服務器中獲得完整的域名信息備份，也可以對外提供權威和精確的域名解析高速緩存DNS服務器（Caching-only?Server）把從其他DNS服務器獲得的域名信息保存在自己的高速緩存中，從而為用戶提供域名解析服務轉(zhuǎn)發(fā)DNS服務器（ForwarderNameServer）優(yōu)先從本地緩存中查找，如果沒有的話就把請求轉(zhuǎn)發(fā)給其他DNS服務器2DNS服務端配置DNS安裝與啟停軟件名稱：bind后臺守護進程：named[root@centos7~]#

yuminstallbind-y[root@centos7~]#rpm-qa|grepbindbind-9.11.4-26.P2.el7.x86_64bind-utils-9.11.4-26.P2.el7.x86_64systemctlstart|stop|restart|status|enablenamed2DNS服務端配置2配置文件的關系DNS服務端配置全局配置文件通過include指示符指定主配置文件主配置文件的zone聲明中，通過file選項指定區(qū)域文件2全局配置文件－/etc/named.confDNS服務端配置options配置段的配置項對整個DNS服務器有效zone聲明用來定義區(qū)域，的“.”表示根域。一般在主配置后面文件中定義區(qū)域信息include指示符用來引入其他相關配置文件。一般不使用默認的主配置文件，而是根據(jù)實際需要創(chuàng)建新的主配置文件options{

listen-onport53{;};

directory "/var/named";};

logging{……};

zone"."IN{

typehint;

file"named.ca";};

include"/etc/named.rfc1912.zones";include"/etc/named.root.key";2全局配置文件－options配置段DNS服務端配置listenonport：指定named守護進程監(jiān)聽的端口和IP地址directory：指定DNS守護進程的工作目錄allow-query：指定允許哪些主機發(fā)起域名解析請求forward：有only和first兩個值。值為only表示將DNS服務器配置為高速緩存服務器，值為first表示先請求轉(zhuǎn)發(fā)服務器解析。如果轉(zhuǎn)發(fā)服務器無法解析就自己嘗試解析forwarders：指定轉(zhuǎn)發(fā)DNS服務器，可以將DNS查詢請求轉(zhuǎn)發(fā)給這些轉(zhuǎn)發(fā)DNS服務器進行處理2主配置文件－/etc/named.rfc1912.zonesDNS服務端配置在全局配置文件中通過include指導符引入通過zone聲明設置區(qū)域相關信息，包括正向區(qū)域和反向區(qū)域正向和反向解析區(qū)域的zone聲明格式相同a.b.c網(wǎng)段對應的反向區(qū)域名為zone聲明的關鍵屬性type：DNS服務器的類型file：區(qū)域配置文件allow-update：允許更新區(qū)域信息的從DNS服務器地址masters：主服務器地址，當type的值取slave時有效zone"區(qū)域名稱“IN{

typeDNS服務器類型;

file"區(qū)域文件名";

allow-update{none;};

masters{主域名服務器地址;}};2正向區(qū)域文件DNS服務端配置位于/var/named目錄，從named.localhost中復制cp-pnamed.localhost資源類型NS：區(qū)域的DNS服務器地址MX：區(qū)域的郵件服務器A：域名和IP地址的對應關系CNAME：A資源記錄別名NS @A 00@ IN MX 10 .www IN A 00mail IN A 10web IN CNAME .2反向區(qū)域文件DNS服務端配置位于/var/named目錄，從named.loopback中復制cp-pnamed.loopbacknamed.192.168.100資源類型PTR：IP地址和域名的對應關系，用于DNS反向解析NS @A 00@ IN MX 10 .100 IN PTR .3DNS客戶端驗證3客戶端驗證DNS客戶端驗證[root@dnscli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=noneONBOOT=yesIPADDR=10PREFIX=24GATEWAY=DNS1=00[root@dnscli~]#systemctlrestartnetwork[root@dnscli~]#cat/etc/resolv.confnameserver00Windows客戶端Linux客戶端任務51Web服務概述Web服務配置與管理2Web服務端配置3配置虛擬主機1Web服務概述1Web服務簡介Web服務概述當今人們獲取和傳播信息的主要方式之一Web服務提供的資源多種多樣，可能是簡單的文本，也可能是圖片、音頻和視頻等多媒體數(shù)據(jù)常用的瀏覽器有谷歌公司的Chrome、InternetExplorer，以及Firefox等手機等移動設備成為Web服務的主要入口1Web服務工作過程Web服務概述客戶機/服務器模式，運行于TCP協(xié)議之上工作過程連接過程：瀏覽器和Web服務器之間建立TCP連接請求過程：瀏覽器向Web服務器發(fā)出資源查詢請求應答過程：Web服務器根據(jù)URL把相應的資源返回給瀏覽器，瀏覽器則以網(wǎng)頁的形式把資源展示給用戶關閉連接：應答過程完成以后，瀏覽器和Web服務器之間斷開連接1Web相關技術－HTTPWeb服務概述超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP）：瀏覽器和Web服務器通信時所使用的應用層協(xié)議規(guī)定瀏覽器和Web服務器之間可以發(fā)送什么類型的消息、每種消息的語法和語義、收發(fā)消息的順序等內(nèi)容HTTP是一種無狀態(tài)協(xié)議，即Web服務器不會保留與瀏覽器之間的會話狀態(tài)。這種設計可以減輕Web服務器的處理負擔，加快響應速度HTTP規(guī)范定義了9種請求方法，每種請求方法規(guī)定了瀏覽器和服務器之間不同的信息交換方式，最常用的請求方法是GET和POST1Web相關技術－HTMLWeb服務概述超文本標記語言（HypertextMarkupLanguage，HTML）：由一系列標簽組成的一種描述性語言主要用來描述網(wǎng)頁的內(nèi)容和格式。網(wǎng)頁上的不同內(nèi)容，如文字，圖形、動畫、聲音、表格、超鏈接等，都可以用HTML標簽來表示“超文本”是一種組織和管理信息的方式，通過超鏈接將文本中的文字、圖表與其他信息關聯(lián)通過超文本這種方式可以將分散的資源整合在一起，方便用戶瀏覽、檢索信息2Web服務端配置Web安裝與啟停軟件名稱：httpd后臺守護進程：httpd[root@centos7~]#yuminstallhttpd-y //安裝Apache軟件[root@centos7~]#yuminstallfirefox-y //安裝Firefox瀏覽器[root@centos7~]#rpm-qa|grephttpdhttpd-2.4.6-88.el7.centos.x86_64httpd-tools-2.4.6-88.el7.centos.x86_64systemctlstart|stop|restart|status|enablehttpd2Web服務端配置Web安裝后驗證在Firefox瀏覽器中輸入2Web服務端配置2Web服務主配置文件Web服務端配置/etc/httpd/conf/httpd.conf安裝后大部分說明行或空行注釋以“#”開頭配置前先對文件進行備份，過濾掉所有的說明行，只保留有效配置包含一些單行的指令和配置段指令的語法是“參數(shù)名參數(shù)值”配置段是用一對標簽表示的選項[root@centos7~]#cd/etc/httpd/conf[root@centos7conf]#mvhttpd.confhttpd.conf.bak[root@centos7conf]#grep-v‘^#'httpd.conf.bak>httpd.conf[root@centos7conf]#cathttpd.confServerRoot"/etc/httpd"<==單行指令Listen80……<Directory/><==配置段AllowOverridenoneRequirealldenied</Directory>……DocumentRoot"/var/www/html"……2主配置文件參數(shù)Web服務端配置ServerRoot：設置Apache的服務目錄，默認是/etc/httpdDocumentRoot：網(wǎng)站數(shù)據(jù)的根目錄。一般來說，除了虛擬目錄，Web服務器上存儲的網(wǎng)站資源都在這個目錄下，默認值是/var/www/htmlListen：指定Apache的監(jiān)聽IP地址和端口，默認工作端口是80User和Group：指定運行Apache服務的用戶和組，默認都是apacheServerAdmin：指定網(wǎng)站管理員的郵箱ServerName：指定Apache服務器的主機名2主配置文件參數(shù)Web服務端配置ErrorLog：指定Apache的錯誤日志文件，默認是logs/error_logCustomLog：指定Apache的訪問日志文件，默認是logs/access_logLogLevel：指定日志信息級別，也就是在日志文件中寫入哪些日志信息TimeOut：網(wǎng)頁超時時間。Web客戶端在發(fā)送和接受數(shù)據(jù)時，如果連線時間超過這個時間，就自動斷開連接，默認是300秒Directory：設置服務器上資源目錄的路徑、權限及其他相關屬性DirectoryIndex：指定網(wǎng)站的首頁，默認的首頁文件是index.htmlMaxClients：指定網(wǎng)站的最大連接數(shù)，即Web服務器可以允許多少客戶端同時連接3配置虛擬主機3虛擬主機概述配置虛擬主機主要功能：在一臺物理主機上搭建多個網(wǎng)站減少搭建Web服務器的硬件投入，降低網(wǎng)站維護成本基于IP地址的虛擬主機：為Web服務器設置多個IP地址，通過IP地址訪問網(wǎng)站基于域名的虛擬主機：為Web服務器設置多個域名，通過域名區(qū)分基于端口號的虛擬主機：虛擬主機之間通過不同的端口號區(qū)分3基于IP地址的虛擬主機配置虛擬主機第1步：為服務器分配兩個IP地址[root@centos7~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33IPADDR0=00PREFIX0=24GATEWAY0=IPADDR1=01PREFIX1=24GATEWAY1=DNS1=00[root@centos7~]#systemctlrestartnetwork為Web服務器分配兩個IP地址，分別為00和01例3基于IP地址的虛擬主機配置虛擬主機第2步：為兩臺虛擬主機分別創(chuàng)建文檔根目錄和首頁文件，并修改權限[root@centos7~]#mkdir-p/siso/www1[root@centos7~]#mkdir-p/siso/www2[root@centos7~]#chmodo+rx/siso/www1[root@centos7~]#chmodo+rx/siso/www2[root@centos7~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@centos7~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html為Web服務器分配兩個IP地址，分別為00和01例[root@centos7~]#mkdir-p/siso/www1[root@centos7~]#mkdir-p/siso/www2[root@centos7~]#chmodo+rx/siso/www1[root@centos7~]#chmodo+rx/siso/www2[root@centos7~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@centos7~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html3基于IP地址的虛擬主機配置虛擬主機第3步：新建虛擬機配置文件，指定虛擬機文檔根目錄[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1<Directory/>AllowOverridenoneRequireallgranted</Directory></Virtualhost>

#第2臺虛擬機類似為Web服務器分配兩個IP地址，分別為00和01例3基于IP地址的虛擬主機配置虛擬主機第4步：重啟Web服務，在瀏覽器中驗證為Web服務器分配兩個IP地址，分別為00和01例3基于域名的虛擬主機配置虛擬主機第1步：配置DNS服務，添加兩個域名，重啟DNS服務[root@centos7~]#vim/var/named/www1 IN A 00www2 IN A 00[root@centos7~]#systemctlrestartnamed例虛擬機IP地址為00，配置基于域名的虛擬主機，兩個域名分別是

和第2步：為兩臺虛擬主機分別創(chuàng)建文檔根目錄和首頁文件，并修改權限。與上例完全相同3基于域名的虛擬主機配置虛擬主機第3步：修改虛擬機配置文件相關內(nèi)容[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1ServerName</Virtualhost>

<Virtualhost00>DocumentRoot/siso/www2ServerName</Virtualhost>例虛擬機IP地址為00，配置基于域名的虛擬主機，兩個域名分別是

和3基于域名的虛擬主機配置虛擬主機第4步：重啟Apache服務，檢查防火墻和SELinux的設置，在瀏覽器中驗證例虛擬機IP地址為00，配置基于域名的虛擬主機，兩個域名分別是

和3基于端口的虛擬主機配置虛擬主機第1步：為兩臺虛擬主機分別創(chuàng)建文檔根目錄和首頁文件、修改權限[root@centos7~]#mkdir-p/siso/www8080[root@centos7~]#mkdir-p/siso/www8090[root@centos7~]#chmodo+rx/siso/www8080[root@centos7~]#chmodo+rx/siso/www8090[root@centos7~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@centos7~]#echo"www8090'shomepage...">/siso/www8090/index.html例虛擬機IP地址為00，配置基于端口的虛擬主機，端口分別是8080和8090，文檔根目錄分別是/siso/www8080和/siso/www8090第2步：在Apache主配置文件中，啟用8080和8090兩個監(jiān)聽端口[root@centos7~]#vim/etc/httpd/conf/httpd.confListen8080Listen8090[root@centos7~]#mkdir-p/siso/www8080[root@centos7~]#mkdir-p/siso/www8090[root@centos7~]#chmodo+rx/siso/www8080[root@centos7~]#chmodo+rx/siso/www8090[root@centos7~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@centos7~]#echo"www8090'shomepage...">/siso/www8090/index.html3基于端口的虛擬主機配置虛擬主機第3步：修改虛擬機配置文件相關內(nèi)容[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00:8080>DocumentRoot/siso/www8080</Virtualhost>

<Virtualhost00:8090>DocumentRoot/siso/www8090</Virtualhost>例虛擬機IP地址為00，配置基于端口的虛擬主機，端口分別是8080和8090，文檔根目錄分別是/siso/www8080和/siso/www80903基于端口的虛擬主機配置虛擬主機第4步：重啟Apache服務，檢查防火墻和SELinux的設置，在瀏覽器中驗證例虛擬機IP地址為00，配置基于端口的虛擬主機，端口分別是8080和8090，文檔根目錄分別是/siso/www8080和/siso/www8090任務61FTP服務概述FTP服務配置與管理2FTP服務端配置3配置不同F(xiàn)TP用戶1FTP服務概述1FTP服務簡介FTP服務概述歷史悠久，是應用最廣泛的應用層協(xié)議運行于TCP之上，文件傳輸可靠，跨平臺、跨系統(tǒng)采用客戶機/服務器模式，上傳和下載文件方便登錄用戶類型：匿名用戶：沒有對應的系統(tǒng)賬戶，可以訪問公開的、沒有版權和保密性要求的文件本地用戶：實際存在的操作系統(tǒng)用戶，以本地用戶身份登錄FTP服務器虛擬用戶：可以使用FTP服務但不能登錄操作系統(tǒng)，登錄時被映射為實際的操作系統(tǒng)用戶1FTP運行模式－主動模式FTP服務概述控制信道的發(fā)起方是FTP客戶端，數(shù)據(jù)信道的發(fā)起方是FTP服務器容易受到防火墻和NAT的影響連接建立過程：客戶端選擇端口PortA與服務器的21端口建立TCP連接FTP客戶端隨機啟用端口PortB，通過控制信道通知服務器采用主動模式，以及端口PortB服務器用20端口與客戶端的PortB建立TCP連接1FTP運行模式－被動模式FTP服務概述控制信道的發(fā)起方是FTP客戶端，數(shù)據(jù)信道的發(fā)起方也是FTP客戶端客戶端很可能不能使用被動模式與位于防火墻后方或內(nèi)網(wǎng)的服務器建立數(shù)據(jù)連接連接建立過程：客戶端選擇PortA與服務器的21端口建立TCP連接客戶端通過控制信道通知FTP服務器采用被動模式FTP服務器隨機啟用端口PortP，并通過控制信道將這個端口告知FTP客戶端客戶端隨機使用PortB與服務器的PortP建立TCP連接2FTP服務端配置FTP安裝與啟停軟件名稱：vsftpd后臺守護進程：vsftpd[root@centos7~]#yuminstallvsftpd-y//安裝vsftpd軟件[root@centos7~]#

rpm-qa|grepvsftpdvsftpd-3.0.2-28.el7.x86_64systemctlstart|stop|restart|status|enablevsftpd客戶端軟件名稱：ftp[root@centos7~]#yuminstallftp-y//安裝ftp軟件2FTP服務端配置2FTP服務主配置文件FTP服務端配置/etc/vsftpd/vsftpd.conf注釋以“#”開頭先對文件進行備份，然后過濾掉所有以“#”開頭的行，只保留有效的行包含單行指令和配置段語法是“參數(shù)名=參數(shù)值”“=”前后不能有空格[root@centos7~]#cd/etc/vsftpd[root@centos7vsftpd]#

mvvsftpd.confvsftpd.conf.bak[root@centos7vsftpd]#grep-v‘^#'vsftpd.conf.bak>vsftpd.conf[root@centos7vsftpd]#catvsftpd.confanonymous_enable=YESlocal_enable=YESwrite_enable=YES2FTP全局參數(shù)FTP服務端配置全局參數(shù)對三種類型的登錄用戶都適用FTP全局參數(shù)功能說明listen指定FTP服務是否以獨立方式運行，默認為NOlisten_address指定在獨立方式下FTP服務的監(jiān)聽地址listen_port指定在獨立方式下FTP服務的監(jiān)聽端口，默認是21max_clients指定最大的客戶端連接數(shù)，值為0表示不限制max_per_ip指定同一IP地址可以發(fā)起的最大連接數(shù)，值為0表示不限制port_enable指定是否允許主動模式，默認為YESpasv_enable指定是否允許被動模式，默認為YESwrite_enable指定是否允許用戶上傳文件、新建目錄、刪除文件和目錄等操作，默認為NOdownload_enable指定是否允許用戶下載文件，默認為YESvsftpd_log_filevsftpd進程的日志文件，默認是/var/log/vsftpd.log3配置不同F(xiàn)TP用戶3FTP用戶登錄－匿名用戶配置不同F(xiàn)TP用戶要特別注意控制匿名用戶的訪問權限和根目錄匿名用戶相關參數(shù)功能說明anonymous_enable是否允許匿名用戶登錄，默認為YESanon_root匿名用戶登錄后使用的根目錄。這里的根目錄是指匿名用戶的主目錄，而不是文件系統(tǒng)的根目錄“/”ftp_username匿名用戶登錄后具有哪個用戶的權限，默認是ftpno_anon_password如果設為YES，那么vsftpd服務不會向匿名用戶詢問密碼。默認為NOanon_upload_enable是否允許匿名用戶上傳文件，默認為NOanon_mkdir_write_enable是否允許匿名用戶創(chuàng)建目錄anon_umask匿名用戶上傳文件時使用的umask值，默認為077anon_other_write_enable是否允許匿名用戶執(zhí)行除上傳文件和創(chuàng)建目錄之外的寫操作。默認為NOanon_max_rate指定匿名用戶的最大傳輸速率，單位是字節(jié)/秒，值為0表示不限制第1步：在FTP服務器上創(chuàng)建根目錄，在根目錄下新建測試文件file1.100例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[root@centos7~]#mkdir-p/var/anon_ftp[root@centos7~]#ls-ld/var/anon_ftpdrwxr-xr-x. 2 rootroot 6 12月520:13 /var/anon_ftp[root@centos7~]#touch/var/anon_ftp/file1.100第2步：修改vsftpd主配置文件例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[root@centos7~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允許匿名登錄anon_root=/var/anon_ftp <==匿名用戶根目錄write_enable=NO <==全局參數(shù)，不允許寫操作第3步：重啟FTP服務，修改防火墻和SELinux設置第4步：登錄FTP客戶端，在/tmp目錄中新建測試文件file1.110[zys@centos7~]$cd/tmp[zys@centos7tmp]$touchfile1.110[root@centos7~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允許匿名登錄anon_root=/var/anon_ftp <==匿名用戶根目錄write_enable=NO <==全局參數(shù)，不允許寫操作第5步：在客戶端使用ftp命令連接FTP服務器并查詢服務器端測試文件例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[zys@centos7tmp]$ftp00Name(00:zys):ftp<==輸入匿名用戶的登錄身份Password:<==提示輸入密碼，這里直接按Enter鍵即可230Loginsuccessful. <==登錄成功ftp>pwd<==查看當前工作目錄257"/"ftp>ls<==使用ls命令查看文件-rw-r--r--100 0Dec0512:14 file1.100ftp>第6步：測試匿名用戶的文件上傳和下載權限。從服務器下載file1.100文件時操作成功，但上傳file1.110文件時提示“550Permissiondenied”，即沒有權限執(zhí)行上傳操作例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶ftp>getfile1.100226Transfercomplete.ftp>putfile1.110550Permissiondenied.ftp>quit3FTP用戶登錄－本地用戶配置不同F(xiàn)TP用戶推薦的做法是允許本地用戶使用FTP服務，但是不能登錄操作系統(tǒng)，這樣可以降低賬號密碼泄露帶來的系統(tǒng)風險本地用戶相關參數(shù)功能說明local_enable是否允許本地用戶登錄FTP服務器，默認為NOlocal_max_rate指定本地用戶的最大傳輸速率，單位是字節(jié)/秒，值為0表示不限制。默認為0local_umask本地用戶上傳文件時使用的umask值，默認為077local_root本地用戶登錄后使用的根目錄chroot_local_user是否將用戶鎖定在根目錄，默認為NOchroot_list_enable指定是否啟用chroot用戶列表文件，默認為NOchroot_list_file用戶列表文件。根據(jù)chroot_list_enable的設置，文件中的用戶可能被chroot，也可能不被chroot3FTP用戶登錄－本地用戶chroot配置不同F(xiàn)TP用戶被chroot的用戶登錄FTP服務器后將被鎖定在自己的根目錄內(nèi)chroot_local_user用來設置是否將用戶鎖定在根目錄chroot_list_enable和chroot_list_file兩個參數(shù)指定一個文件，文件中的用戶作為默認設置的“例外”而存在。如果默認設置是鎖定所有用戶的根目錄，那么文件中的用戶將不被鎖定，反之亦然

chroot_local_user=NOchroot_local_user=YESchroot_list_enable=NO所有用戶都不被chroot所有用戶都被chrootchroot_list_enable=YES所有用戶都不被chroot。chroot_list_file文件指定的用戶是例外，被chroot所有用戶都被chroot。chroot_list_file文件指定的用戶是例外，不被chroot第1步：確保系統(tǒng)中存在本地用戶ss和zys。在FTP服務器中新建目錄/siso/ito及兩個測試文件例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@centos7~]#idssuid=1237(ss)gid=1237(ss)組=1237(ss),1003(devteam1),1004(devteam2)[root@centos7~]#

idzysuid=1000(zys)gid=1000(zys)組=1000(zys),1002(devteam)[root@centos7~]#mkdir-p/siso/ito[root@centos7~]#

ls-ld/siso/itodrwxr-xr-x. 2 rootroot40 12月520:37 /siso/ito[root@centos7~]#touch/siso/ito/file2.100 //新建服務器端測試文件[root@centos7~]#touch/siso/ito/file3.100第2步：修改主配置文件，設置兩個的讀寫權限及chroot。重啟FTP服務例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@centos7~]#vim/etc/vsftpd/vsftpd.confwrite_enable=YES <==允許用戶寫入download_enable=YES<==允許用戶下載local_enable=YES <==允許本地用戶登錄FTP服務器local_root=/siso/ito <==本地用戶根目錄chroot_local_user=YES<==所有用戶默認被chrootchroot_list_enable=YES<==啟用例外用戶chroot_list_file=/etc/vsftpd/chroot_list <==例外用戶列表文件[root@centos7~]#systemctlrestartvsftpd第3步：新建例外用戶列表文件/etc/vsftpd/chroot_list，添加用戶ss例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@centos7~]#vim/etc/vsftpd/chroot_listss<==只添加ss一個用戶第4步：修改防火墻和SELinux設置第5步：在FTP客戶端中新建測試文件file2.110和file3.110[zys@centos7~]$cd/tmp[zys@centos7tmp]$touchfile2.110file3.110第6步：在FTP客戶端中使用用戶zys登錄FTP服務器，測試能否更改目錄例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[zys@centos7tmp]$ftp00Name(00:zys):zys <==輸入用戶名zysPassword: <==輸入用戶zys的密碼230Loginsuccessful.ftp>pwd

<==查看當前目錄257"/" <==即/siso/itoftp>cd/siso <==更改目錄550Failedtochangedirectory. <==更改目錄失敗ftp>

ls

<==查看目錄內(nèi)容-rw-r--r--10 0 0 Nov2811:46 file2.100-rw-r--r--10 0 0 Nov2812:34 file3.100ftp>第7步：繼續(xù)測試下載和上傳操作。用戶zys可以下載文件，但是上傳文件時系統(tǒng)提示“553Couldnotcreatefile”，即無權限創(chuàng)建文件例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶ftp>getfile2.100 <==下載文件226Transfercomplete.ftp>putfile2.110 <==上傳文件553Couldnotcreatefile. <==上傳文件失敗ftp>quit

注意：一般從兩個方面檢查：一，檢查主配置文件中是否開放了相應的權限二，檢查FTP服務器的相應目錄是否開放寫權限第8步：在主配置文件中，已經(jīng)設置為允許本地用戶上傳文件。但是/siso/ito目錄權限是rwxr-xr-x，沒有對zys開放寫權限?？梢灾苯淤x予zys寫權限，也可以修改/siso/ito目錄的所有者和屬組例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@centos7~]#chmodo+w/siso/ito

//或chownzys/siso/ito[root@centos7~]#

ls-ld/siso/itodrwxr-xrwx. 2 rootroot 4012月520:37 /siso/ito例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第9步：修改完之后繼續(xù)測試，登錄FTP服務器時出現(xiàn)新錯誤[zys@centos7tmp]$ftp00Name(00:zys):zysPassword: 500OOPS:vsftpd:refusingtorunwithwritablerootinsidechroot()Loginfailed.421Servicenotavailable,remoteserverhasclosedconnectionftp>quit注意：如果用戶被chroot，就不能再對主目錄具有寫權限例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第10步：在主配置文件中設置allow_writeable_chroot參數(shù)，重啟FTP服務[root@centos7~]#vim/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES <==增加這一行，允許對主目錄的寫操作[root@centos7~]#systemctlrestartvsftpd例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第11步：重新登錄服務器，再次嘗試上傳文件，現(xiàn)在文件上傳成功[zys@centos7tmp]$

ftp00Name(00:zys):zysPassword:230

Loginsuccessful. <==登錄成功ftp>putfile2.110226Transfercomplete. <==文件上傳成功ftp>

ls-rw-r--r--1 0 0 0 Dec0512:37 file2.100-rw-r--r--1 1000 1000 0 Dec0513:00 file2.110-rw-r--r--1 0 0 0 Dec0512:37 file3.100ftp>quit例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第12步：在FTP客戶端中使用用戶ss進行以上測試