Linux網(wǎng)絡(luò)操作系統(tǒng)項目式教程（CentOS7.6）（微課版）（第2版）課件 張運嵩 項目5-7 管理軟件與進程；配置網(wǎng)絡(luò)、防火墻與遠程桌面；網(wǎng)絡(luò)服務(wù)配置與管理

項目5管理軟件與進程Linux網(wǎng)絡(luò)操作系統(tǒng)項目式教程（第二版）任務(wù)11認識軟件包管理器軟件包管理器2RPM管理器3使用YUM管理軟件1認識軟件包管理器1早期：編譯源代碼用戶直接編譯源代碼，有一定的自由度，但對普通用戶難度過大進階：軟件包管理器將編譯好的可執(zhí)行文件、配置文檔及其他相關(guān)文檔打包成軟件包無法處理軟件的依賴關(guān)系代表：RPM和Deb現(xiàn)今：自動安裝和升級能處理軟件的依賴關(guān)系，自動下載安裝尚未安裝的依賴軟件代表：YUM和APTLinux中軟件管理發(fā)展歷史認識軟件包管理器2RPM管理器2功能被YUM大大弱化，主要使用其查詢功能針對所有已安裝的軟件建立一個本地軟件數(shù)據(jù)庫，作為后續(xù)軟件升級和卸載的依據(jù)本地軟件數(shù)據(jù)庫保存在目錄/var/lib/rpm中RPM基本概念RPM管理器[zys@centos7~]$ls-l/var/lib/rpm-rw-r--r--. 1 root root4280320 1月910:48 Basenames-rw-r--r--. 1 root root16384 12月722:26 Conflictname-rw-r--r--. 1 root root270336 1月1812:56 __db.001[zys@centos7~]$file/var/lib/rpm/Basenames/var/lib/rpm/Basenames:BerkeleyDB(Btree,version9,nativebyte-order)2RPM使用方法RPM管理器[zys@centos7~]$rpm-qa //查詢所有已安裝軟件libosinfo-1.1.0-2.el7.x86_64libcacard-2.5.2-2.el7.x86_64[zys@centos7~]$rpm-qopenssh //查詢軟件基本信息openssh-7.4p1-21.el7.x86_64[zys@centos7~]$rpm-qiopenssh //查詢軟件詳細信息Name:opensshVersion:7.4p1Release:21.el7Architecture:x86_64[zys@centos7~]$rpm-qlopenssh //查詢軟件的相關(guān)文件和目錄/etc/ssh/etc/ssh/moduli/usr/bin/ssh-keygenrpm-q[-a|-i|-l|-c|-d|-R|-f]software_name3使用YUM管理軟件3YUM源：包含整理好的軟件清單和軟件安裝包，配置好YUM源之后，就可以從YUM源下載并安裝軟件可以把本地計算機作為本地YUM源，也可以配置一個網(wǎng)絡(luò)YUM源YUM源的配置文件在目錄/etc/yum.repos.d中，文件擴展名是“.repo”配置YUM源的關(guān)鍵是在YUM配置文件中指明YUM源的地址YUM基本概念使用YUM管理軟件[root@centos7~]#cd/etc/yum.repos.d/[root@centos7yum.repos.d]#lsCentOS-Base.repoCentOS-fasttrack.repo CentOS-Vault.repoCentOS-CR.repoCentOS-Media.repo CentOS-x86_64-kernel.repoCentOS-Debuginfo.repoCentOS-Sources.repo3YUM配置文件通配符和特殊符號以“#”開頭的行是注釋行[base]：YUM源的名稱，必須放在中括號中name：YUM源的簡短說明mirrorlist：YUM源的鏡像站點，這一行不是必須的，可以注釋掉baseurl：YUM源的實際地址，即下載rpm軟件包的地方，非常重要enabled：表示YUM源是否生效gpgcheck：表示是否檢查RPM軟件包的數(shù)字簽名gpgkey：表示包含數(shù)字簽名的公鑰文件所在位置3YUM配置示例通配符和特殊符號[root@centos7~]#mkdir-p/mnt/centos7[root@centos7~]#mount/dev/sr0/mnt/centos7[root@centos7~]#cd/etc/yum.repos.d[root@centos7yum.repos.d]#catCentOS-Base.repo#CentOS-Base.repo[base]name=CentOS-$releasever-Basebaseurl=file:///mnt/centos7gpgcheck=0enabled=1gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-73YUM命令通配符和特殊符號yumlist|info|install|update|remove[software_name][root@centos7~]#yuminstallsamba-y任務(wù)2進程管理和任務(wù)調(diào)度進程基本概念12進程監(jiān)控和管理3任務(wù)調(diào)度管理4系統(tǒng)服務(wù)管理1進程基本概念1進程基本概念進程存儲在內(nèi)部存儲設(shè)備（內(nèi)存），而程序存儲在外部存儲設(shè)備（如硬盤等）進程在內(nèi)存中對應(yīng)一個進程控制塊（ProcessControlBlock，PCB）每個進程都有一個進程號（ProcessID，PID）進程是動態(tài)的，程序是靜態(tài)的程序是代碼和數(shù)據(jù)的集合，是經(jīng)過編譯后形成的可執(zhí)行二進制文件進程是程序運行時在內(nèi)存中產(chǎn)生的實例。一個程序可以產(chǎn)生多個進程實例進程具有多個狀態(tài)，如就緒、運行、等待、掛起等進程是臨時的，程序是持久的程序文件一旦生成就一直存儲在磁盤中，除非手動刪除進程只有在程序運行時才會產(chǎn)生。進程可能正常結(jié)束或異常退出進程與程序1進程基本概念每個進程都有一個進程號（ProcessID，PID）除了PID為1的systemd進程以，其他進程都是由父進程創(chuàng)建的一個父進程可以創(chuàng)建多個子進程一般來說，當(dāng)父進程終止時，子進程也隨之終止，反之則不然父進程可以向子進程發(fā)送特定的信號對子進程進行管理如果父進程不能成功終止子進程，或者子進程因為某些異常情況無法自行終止，就會產(chǎn)生“僵尸”進程父進程與子進程1進程基本概念創(chuàng)建狀態(tài)。操作系統(tǒng)為進程申請一個空白PCB并寫入相關(guān)信息創(chuàng)建->就緒。進程資源需求可以滿足進入就緒隊列就緒->運行。選擇一個進程并分配CPU時間片運行->終止。進程正?；虍惓＝K止運行->阻塞。等待某些事件才能繼續(xù)運行阻塞->就緒。等待事件發(fā)生時會重新進入就緒狀態(tài)運行->就緒。CPU時間片用完或被其他進程搶占退出狀態(tài)。釋放資源進程狀態(tài)2進程監(jiān)控與管理2進程監(jiān)控與管理功能：查看系統(tǒng)中當(dāng)前有哪些進程，選項非常多只能顯示系統(tǒng)進程的靜態(tài)信息ps命令[zys@centos7～]$psaux //注意，選項前可以不使用“-”USER PID %CPU %MEM VSZ RSSTTYSTATSTARTTIME COMMANDroot 2 0.0 0.0 0 0 ?S06:410:00 [kthreadd]zys11218 0.0 0.2 1517845500pts/1S+09:150:00 vimfile12進程監(jiān)控與管理功能：查看進程間的相關(guān)性和依賴關(guān)系pstree命令[zys@centos7～]$pstree-pu|moresystemd(1)-+-ModemManager(6553)-+-{ModemManager}(6623)| `-{ModemManager}(6625)|-at-spi-bus-laun(9313,zys)-+-dbus-daemon(9318){dbus-daemon}(9319)2進程監(jiān)控與管理功能：查看進程信息的動態(tài)變化，默認每3秒刷新一次進程信息顯示系統(tǒng)硬件資源的占用情況等有助于系統(tǒng)管理員監(jiān)控系統(tǒng)運行狀態(tài)或分析系統(tǒng)故障top命令[zys@centos7～]$

top-d10top-09:51:07up3:09,3users,loadaverage:0.23,0.11,0.07Tasks:210total,3running,207sleeping,0stopped,0zombie%Cpu(s):0.4us,0.3sy,0.0ni,99.2id,0.0wa,0.0hi,0.1si,0.0

PID USERPRNI VIRTRESSHRS%CPU%MEMTIME+COMMAND9674 zys 2005676202696819440S0.21.30:10.65 vmtoolsd7176 root 20057382193206100S0.11.00:02.47 tuned2進程監(jiān)控與管理功能：將命令放入Bash后臺運行而不影響終端窗口在命令結(jié)尾輸入“&”符號即可通過“&”放入后臺的進程仍然處于運行狀態(tài)前后臺進程切換－&[zys@centos7~]$find.-name*history& //將find命令放入后臺運行[1]9863 <==這一行顯示任務(wù)號和進程號./.bash_history <==這一行是find命令的輸出[1]+完成find.-name*history <==這一行表示find命令在后臺運行結(jié)束2進程監(jiān)控與管理進程在前臺運行時按【Ctrl+Z】組合鍵，進程會被放入后臺并被處于暫停狀態(tài)前后臺進程切換－【Ctrl+Z】組合鍵[zys@centos7~]$find/-namefile1&>/dev/null //按Enter鍵后再按【Ctrl+Z】組合鍵^Z[1]+已停止find/-namefile1&>/dev/null[zys@centos7~]$bc //按Enter鍵后再按【Ctrl+Z】組合鍵^Z[2]+已停止bc2進程監(jiān)控與管理功能：查看從終端窗口放入后臺的進程“+”號表示最近放入后臺的命令“-”表示倒數(shù)第2個放入后臺的命令前后臺進程切換－jobs命令[zys@centos7~]$jobs-l[1]-10008停止 find/-namefile1&>/dev/null <==倒數(shù)第2個放入后臺的進程[2]+10025停止bc <==最后一個放入后臺的進程2進程監(jiān)控與管理功能：使后臺暫停的進程重新開始運行命令后跟任務(wù)號前后臺進程切換－bg

命令[zys@centos7~]$

bg1;jobs-l //bg命令后跟任務(wù)號[1]-find/-namefile1&>/dev/null&[1]-10008運行中 find/-namefile1&>/dev/null&[[2]+10025停止bc2進程監(jiān)控與管理功能：把后臺的進程恢復(fù)到前臺繼續(xù)運行前后臺進程切換－fg

命令[zys@centos7~]$jobs-l[2]+10025停止bc[zys@centos7~]$fg2 //fg命令后跟任務(wù)號bc11*16 <==這一行是在bc交互環(huán)境中輸入的176 <==這一行是11*16的結(jié)果quit <==退出bc交互環(huán)境2進程監(jiān)控與管理功能：通過內(nèi)核向進程發(fā)送信號以執(zhí)行某些特殊的操作，如掛起進程、正常退出進程或強制終止進程等終止進程－kill

命令[zys@centos7~]$ps-f-Cvim,bash,psUIDPIDPPIDC STIME TTY TIME CMDzys10341103340 08:31 pts/0 00:00:00 bashzy11:26 pts/1 00:00:00 vimfile1zy11:40 pts/0 00:00:00 ps-f-Cvim,bash,ps[zys@centos7~]$kill-913457 //結(jié)束PID為13457的進程3任務(wù)調(diào)度管理3任務(wù)調(diào)度管理功能：設(shè)置需要周期執(zhí)行的任務(wù)crontab－命令格式crontab[-uuname]|-e|-l|-r3任務(wù)調(diào)度管理crontab－示例[zys@centos7~]$crontab-e*/3****echo“timeis`date`”>>/tmp/cron_test<==輸入該行內(nèi)容后保存設(shè)置并退出[zys@centos7~]$crontab-l //查看當(dāng)前crontab周期任務(wù)*/3****echo“timeis`date`”>>/tmp/cron_test[zys@centos7~]$tail-f/tmp/cron_test //觀察文件/tmp/cron_test的實時變化

“timeis2022年12月04日星期日06:15:01CST”“timeis2022年12月04日星期日06:18:01CST”“timeis2022年12月04日星期日06:21:01CST”3任務(wù)調(diào)度管理功能：設(shè)置在指定的時間執(zhí)行某個一次性任務(wù)time參數(shù)是計劃任務(wù)的執(zhí)行時間，可以采用下列時間格式的任何一種HH:MM[am|pm][Month][Date][Year]，如11:10amJan182022HH:MMYYYY-MM-DD，如11:102022-01-18MMDDYY、MM/DD/YY，指定日期，如011822、01/18/22特定時間：如now表示當(dāng)前時刻，noon代表12:00pmtime+n[minutes|hours|days|weeks]，表示在某個時間點之后某一時刻執(zhí)行，如now+3hours表示當(dāng)前時刻的3小時后at－命令格式at[-l][-ffname][-djobnumber]time3任務(wù)調(diào)度管理at－示例[zys@centos7~]$atnow+3minutesat>echo"timeis`date`">>/tmp/at_test //這是要執(zhí)行的命令

at><EOT> //按【Ctrl+D】組合鍵退出job1atSunDec406:20:002022[zys@centos7~]$at-l

//查看at計劃任務(wù)，相當(dāng)于atq命令1 SunDec406:20:002022azys[zys@centos7~]$tail-f/tmp/at_test //觀察文件/tmp/at_test的實時變化timeis2022年12月04日星期日06:20:00CST //只在指定時間執(zhí)行一次4系統(tǒng)服務(wù)管理4系統(tǒng)服務(wù)管理系統(tǒng)啟動過程BIOS自檢。BIOS是開機后計算機主動執(zhí)行的第1個程序。BIOS從CMOS讀取計算機硬件設(shè)備的配置信息，檢查外圍硬件設(shè)備是否能夠正常工作啟動引導(dǎo)程序。BIOS根據(jù)啟動設(shè)備的順序查找用于啟動操作系統(tǒng)的驅(qū)動設(shè)備，并從中讀取啟動引導(dǎo)程序。完成啟動引導(dǎo)程序的讀取之后，啟動引導(dǎo)程序開始接管系統(tǒng)啟動的控制權(quán)加載操作系統(tǒng)內(nèi)核。啟動引導(dǎo)程序最主要的功能是加載操作系統(tǒng)內(nèi)核，并將系統(tǒng)啟動的控制權(quán)轉(zhuǎn)交給內(nèi)核操作系統(tǒng)初始化。系統(tǒng)初始化工具負責(zé)操作系統(tǒng)的初始化工作，準(zhǔn)備操作系統(tǒng)的運行環(huán)境4系統(tǒng)服務(wù)管理系統(tǒng)啟動工具－systemdsystemd是常駐內(nèi)存的守護進程，PID為1，其他進程都是systemd的直接或間接子進程并行啟動系統(tǒng)服務(wù)，即同時啟動多個互不依賴的系統(tǒng)服務(wù)支持按需響應(yīng)（on-demand）的服務(wù)啟動方式，當(dāng)有用戶使用這個服務(wù)時就啟動，使用完即可關(guān)閉，直到下次使用時再啟動把系統(tǒng)服務(wù)定義為一個服務(wù)單元（unit），每個單元都有對應(yīng)的單元配置文件，相當(dāng)于SysVinit里的服務(wù)腳本兼容SysVinit啟動腳本，仍然可以使用這些這些腳本啟動系統(tǒng)服務(wù)已經(jīng)成為各Linux發(fā)行版的系統(tǒng)初始化工具4系統(tǒng)服務(wù)管理系統(tǒng)管理工具－systemctlsystemctlcmdsername.service謝謝項目6配置網(wǎng)絡(luò)、防火墻與遠程桌面Linux網(wǎng)絡(luò)操作系統(tǒng)項目式教程（第二版）任務(wù)11網(wǎng)絡(luò)配置配置網(wǎng)絡(luò)2常用網(wǎng)絡(luò)命令1網(wǎng)絡(luò)配置1網(wǎng)絡(luò)配置－準(zhǔn)備工作網(wǎng)絡(luò)配置設(shè)置虛擬機網(wǎng)絡(luò)連接方式為NAT設(shè)置NAT虛擬網(wǎng)卡網(wǎng)絡(luò)地址

1網(wǎng)絡(luò)配置－圖形界面網(wǎng)絡(luò)配置1網(wǎng)絡(luò)配置－網(wǎng)卡配置文件網(wǎng)絡(luò)配置不同的網(wǎng)卡對應(yīng)不同的配置文件修改之后重啟網(wǎng)絡(luò)服務(wù)[root@centos7~]#cd/etc/sysconfig/network-scripts/[root@centos7network-scripts]#vimifcfg-ens33BOOTPROTO=noneONBOOT=yesIPADDR=00PREFIX=24GATEWAY=DNS1=[root@centos7network-scripts]#systemctlrestartnetwork //重啟網(wǎng)絡(luò)服務(wù)1網(wǎng)絡(luò)配置－nmtui網(wǎng)絡(luò)配置終端窗口執(zhí)行nmtui命令1網(wǎng)絡(luò)配置－nmcli網(wǎng)絡(luò)配置終端窗口執(zhí)行nmcli命令[root@centos7~]#nmcliconnectionshowens33 //查看指定網(wǎng)絡(luò)連接connection.id: ens33ipv4.method: manualipv4.dns: ipv4.addresses: 00/24ipv4.gateway: [root@centos7~]#nmcliconnectionmodifyens33\

//換行繼續(xù)輸入>ipv4.addresses00/24\>ipv4.dns54[root@centos7~]#nmcliconnectionupens332常用網(wǎng)絡(luò)命令2最常用的測試網(wǎng)絡(luò)連通性的工具之一向目標(biāo)主機連續(xù)發(fā)送ICMP分組，記錄目標(biāo)主機是否正常響應(yīng)及響應(yīng)時間常用網(wǎng)絡(luò)命令－ping常用網(wǎng)絡(luò)命令[zys@centos7~]$pingPING(70)56(84)bytesofdata.64bytesfrom70(70):icmp_seq=1ttl=128time=30.2ms64bytesfrom70(70):icmp_seq=2ttl=128time=28.0ms^C <==按【Ctrl+C】組合鍵手動終止ping命令[zys@centos7~]$ping-c3

//只發(fā)送3個分組PING(99)56(84)bytesofdata.64bytesfrom99(99):icmp_seq=1ttl=128time=11.9ms64bytesfrom99(99):icmp_seq=2ttl=128time=13.5ms64bytesfrom99(99):icmp_seq=3ttl=128time=12.6ms2向目標(biāo)主機發(fā)送特殊的分組，并跟蹤分組從源主機到目標(biāo)主機的傳輸路徑Windows操作系統(tǒng)中對應(yīng)的命令是tracert常用網(wǎng)絡(luò)命令－traceroute常用網(wǎng)絡(luò)命令[zys@centos7~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.376ms5.288ms5.197ms218(18)4.955ms5.263ms5.632ms[zys@centos7~]$traceroutetracerouteto(5),30hopsmax,60bytepackets1()5.376ms5.288ms5.197ms218(18)4.955ms5.263ms5.632ms2一個綜合的網(wǎng)絡(luò)狀態(tài)查詢工具，功能較多查看系統(tǒng)開放的端口、服務(wù)及路由表常用網(wǎng)絡(luò)命令－netstat常用網(wǎng)絡(luò)命令[zys@centos7~]$netstat-antActiveInternetconnections(serversandestablished)ProtoRecv-Q Send-Q LocalAddress ForeignAddress Statetcp 0 0 :22345 :* LISTENtcp 0 0 :53 :* LISTEN[zys@centos7～]$netstat-rKernelIProutingtableDestination Gateway Genmask Flags MSS WindowirttIfacedefault UG0 00ens33 U000ens33 U000virbr02查看或配置Linux中的網(wǎng)絡(luò)設(shè)備常用網(wǎng)絡(luò)命令－ifconfig常用網(wǎng)絡(luò)命令[zys@centos7~]$

ifconfigens33 //查看ens33網(wǎng)絡(luò)接口的相關(guān)信息ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet00netmaskbroadcast55inet6fe80::2c73:9d:1146:8f8bprefixlen64scopeid0x20<link>ether00:0c:29:5d:e9:02txqueuelen1000(Ethernet)2驗證DNS服務(wù)的正向解析和反向解析常用網(wǎng)絡(luò)命令－nslookup常用網(wǎng)絡(luò)命令[zys@centos7~]#nslookupServer: <==DNS服務(wù)器Address: #53Non-authoritativeanswer: <==非權(quán)威應(yīng)答Name: Address:70 <==域名對應(yīng)的IP地址2Linux中最常使用的命令行下載工具支持多種協(xié)議，支持單個或批量文件下載支持斷點續(xù)傳功能常用網(wǎng)絡(luò)命令－wget常用網(wǎng)絡(luò)命令[zys@centos7~]$wget/GB/437131/index.html[zys@centos7~]$

ls-lindex.html-rw-rw-r--. 1 zys zys 10755 3月2621:03 index.html任務(wù)2配置防火墻firewalld基本概念12firewalld安裝與啟停3firewalld基本配置1firewalld基本概念1firewalld基本概念支持動態(tài)更新防火墻規(guī)則不重啟即可創(chuàng)建、修改和刪除規(guī)則使用區(qū)域和服務(wù)來簡化防火墻配置firewalld概述1firewalld基本概念一組預(yù)定義的規(guī)則，防火墻策略集合（或策略模板）把網(wǎng)絡(luò)分配到不同的區(qū)域中，并為網(wǎng)絡(luò)及其關(guān)聯(lián)的網(wǎng)絡(luò)接口或流量源指定信任級別在區(qū)域上定義規(guī)則并應(yīng)用于進入該區(qū)域的網(wǎng)絡(luò)流量firewalld－區(qū)域1firewalld基本概念服務(wù)是端口和協(xié)議的組合表示為允許外部流量訪問某種服務(wù)需要配置的所有規(guī)則的集合放行服務(wù)即相當(dāng)于打開與該服務(wù)相關(guān)的端口和協(xié)議、啟用數(shù)據(jù)包轉(zhuǎn)發(fā)等功能將多步操作集成到一條規(guī)則中，減少配置工作量firewalld－服務(wù)2firewalld安裝與啟停2firewalld安裝與啟停功能：查看系統(tǒng)中當(dāng)前有哪些進程，選項非常多只能顯示系統(tǒng)進程的靜態(tài)信息firewalld安裝與啟停[root@centos7~]#yuminstallfirewalld-y //默認已安裝[root@centos7~]#yuminstallfirewall-config-y//默認已安裝systemctlstart|stop|restart|status|enablefirewalld3firewalld基本配置3firewalld基本配置firewall-config圖形化界面firewall-cmd命令firewall-offline-cmd命令firewalld基本配置－三種配置方式3firewalld基本配置運行時配置：firewalld處于運行狀態(tài)時生效的配置永久配置：firewalld重載或重啟時加載的配置使用--permanent選項使更改在下次啟動時仍然生效使用--reload選項重載永久配置并覆蓋運行時配置firewalld基本配置－兩種配置模式[root@centos7~]#firewall-cmd--add-service=http

//只修改運行時配置[root@centos7~]#firewall-cmd--permanent--add-service=http //修改永久配置[root@centos7~]#firewall-cmd--reload//重載永久配置[root@centos7~]#firewall-cmd--add-service=http //只修改運行時配置[root@centos7~]#firewall-cmd--runtime-to-permanent //提交到永久配置中3firewalld基本配置firewalld基本配置－查看信息[root@centos7~]#firewall-cmd--state

//查看運行狀態(tài)running[root@centos7~]#firewall-cmd--list-all

//查看默認區(qū)域配置public(active)

interfaces:ens33

services:sshdhcpv6-clientsambadnshttpftpamanda-k5-client[root@centos7~]#firewall-cmd--list-all--zone=work

//指定區(qū)域名worktarget:defaultservices:sshdhcpv6-client[root@centos7~]#firewall-cmd--list-services //只查看服務(wù)信息sshdhcpv6-client[root@centos7~]#firewall-cmd--list-services--zone=public //組合使用sshdhcpv6-clienthttp3firewalld基本配置firewalld基本配置－基于服務(wù)的流量管理[root@centos7~]#firewall-cmd--list-services//查看當(dāng)前允許服務(wù)列表sshdhcpv6-client[root@centos7~]#firewall-cmd--permanent--add-service=http //添加預(yù)定義服務(wù)[root@centos7~]#firewall-cmd--reload //重載防火墻的永久配置[root@centos7~]#firewall-cmd--list-servicessshdhcpv6-clienthttp[root@centos7~]#firewall-cmd--add-port=80/tcp

//放行tcp80端口[root@centos7~]#firewall-cmd--list-ports80/tcp[root@centos7~]#firewall-cmd--remove-port=80/tcp

//移除tcp80端口添加或移除預(yù)定義服務(wù)添加或移除服務(wù)端口3firewalld基本配置firewalld基本配置－基于區(qū)域的流量管理[root@centos7~]#firewall-cmd--get-zonesblockdmzdropexternalhomeinternalpublictrustedwork[root@centos7~]#firewall-cmd--list-all-zonesblocktarget:%%REJECT%%icmp-block-inversion:no[root@centos7~]#firewall-cmd--list-all--zone=homehometarget:defaulticmp-block-inversion:no查看當(dāng)前可用區(qū)域查看指定區(qū)域的詳細信息3firewalld基本配置firewalld基本配置－基于區(qū)域的流量管理[root@centos7~]#firewall-cmd--get-default-zone //查看當(dāng)前默認區(qū)域public[root@centos7~]#firewall-cmd--set-default-zonework //修改默認區(qū)域[root@centos7~]#firewall-cmd--get-default-zone //再次查看當(dāng)前默認區(qū)域

work[root@centos7~]#firewall-cmd--get-active-zones //查看活動區(qū)域的網(wǎng)絡(luò)接口publicinterfaces:ens33[root@centos7~]#firewall-cmd--zone=work--change-interface=ens33[root@centos7~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33ZONE=work修改默認區(qū)域關(guān)聯(lián)區(qū)域和網(wǎng)絡(luò)接口3firewalld基本配置firewalld基本配置－基于區(qū)域的流量管理[root@centos7zones]#firewall-cmd--permanent--zone=work--set-target=ACCEPT[root@centos7zones]#firewall-cmd--reload[root@centos7zones]#firewall-cmd--zone=work--list-allworktarget:ACCEPTicmp-block-inversion:no當(dāng)數(shù)據(jù)包與區(qū)域的所有規(guī)則都不匹配時，可以使用區(qū)域的默認規(guī)則處理數(shù)據(jù)包包括接受（ACCEPT）、拒絕（REJECT）和丟棄（DROP）3firewalld基本配置firewalld基本配置－基于區(qū)域的流量管理[root@centos7~]#firewall-cmd--zone=work--add-source=/24[root@centos7~]#firewall-cmd--runtime-to-permanent[root@centos7~]#firewall-cmd--zone=work--remove-source=/24[root@centos7~]#firewall-cmd--zone=work--add-source-port=3721/tcp[root@centos7~]#firewall-cmd--zone=work--remove-source-port=3721/tcp[root@centos7~]#firewall-cmd--zone=internal--add-protocol=icmp[root@centos7~]#firewall-cmd--zone=internal--remove-protocol=icmp添加和刪除流量源添加和刪除源端口和協(xié)議任務(wù)3配置遠程桌面VNC遠程桌面12OpenSSH服務(wù)1VNC遠程桌面1VNC遠程桌面VNC分為兩部分：VNC服務(wù)器和VNC客戶端（1）用戶從VNC客戶端發(fā)起遠程連接請求（2）VNC服務(wù)器要求VNC客戶端提供遠程連接密碼（3）VNC客戶端輸入密碼，VNC服務(wù)器驗證密碼及VNC客戶端的訪問權(quán)限（4）通過驗證后，VNC客戶端請求VNC服務(wù)器顯示遠程桌面環(huán)境（5）VNC服務(wù)器利用VNC通信協(xié)議把桌面環(huán)境傳送至VNC客戶端，并且允許VNC客戶端控制VNC服務(wù)器的桌面環(huán)境及輸入設(shè)備VNC工作流程1VNC遠程桌面VNC服務(wù)器為每個VNC客戶端分配一個桌面號，編號從1開始VNC服務(wù)器使用的TCP端口號從5900開始，實際端口為5900+桌面號配置VNC遠程桌面－服務(wù)端[root@centos7~]#vncserver:1Youwillrequireapasswordtoaccessyourdesktops.Password:Verify:Wouldyouliketoenteraview-onlypassword(y/n)?n <==輸入nAview-onlypasswordisnotusedNewcentos7:1(zys)'desktopiscentos7:1[zys@centos7~]$netstat-an|grep5901tcp 0 0 :5901 :* LISTENtcp6 0 0 :::5901 :::* LISTEN1VNC遠程桌面安裝VNC客戶端軟件，如RealVNC輸入VNC服務(wù)器IP地址及桌面號、VNC密碼配置VNC遠程桌面－客戶端2OpenSSH服務(wù)2OpenSSH服務(wù)SSH（SecureShell，安全外殼）是為提高網(wǎng)絡(luò)服務(wù)的安全性而設(shè)計可以對數(shù)據(jù)進行加密傳輸，有效防止遠程管理過程中的信息泄露問題使用SSH傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，可以提高數(shù)據(jù)的傳輸速度SSH服務(wù)由客戶端和服務(wù)器兩部分組成，使用兩種級別的安全驗證第1種級別是基于口令的安全驗證，SSH客戶端只要知道服務(wù)器的賬號和密碼就可以登錄到遠程服務(wù)器第2種級別是基于密鑰的安全驗證，這要求SSH客戶端創(chuàng)建一對密鑰，即公鑰和私鑰OpenSSH服務(wù)概述2OpenSSH服務(wù)配置SSH端口是否允許root用戶登錄配置OpenSSH服務(wù)－服務(wù)端[root@sshserver～]#vim/etc/ssh/sshd_configPort22345 <==修改SSH服務(wù)默認的監(jiān)聽端口為22345PermitRootLoginno <==禁止root用戶使用SSH服務(wù)[root@sshserver～]#semanageport-a-tssh_port_t-ptcp22345[root@sshserver~]#systemctlrestartsshd[root@sshserver~]#netstat-an|grep:22345tcp 0 0 :22345 :* LISTENtcp6 0 0 :::22345 :::* LISTEN2OpenSSH服務(wù)使用ssh命令訪問SSH服務(wù)，使用-p選項指定端口配置OpenSSH服務(wù)－客戶端[zys@sshclient~]#sshroot@00ssh:connecttohost00port22:Connectionrefused <==連接22號端口被拒絕[zys@sshclient~]$sshroot@00-p22345root@00'spassword: <==輸入密碼Permissiondenied,pleasetryagain. <==訪問被拒絕[zys@sshclient~]$sshss@00-p22345ss@00'spassword: <==輸入密碼[ss@sshserver~]$exit[zys@sshclient~]$謝謝項目7網(wǎng)絡(luò)服務(wù)配置與管理Linux網(wǎng)絡(luò)操作系統(tǒng)項目式教程（第二版）任務(wù)11Samba服務(wù)概述Samba服務(wù)配置與管理2Samba服務(wù)端配置3Samba客戶端驗證1Samba服務(wù)概述1Samba的由來Samba服務(wù)概述早期共享文件使用FTP服務(wù)，不能直接修改服務(wù)器上的文件FTP要求先把文件下載到本機，修改后再提交到服務(wù)器解決方案：Windows：通用網(wǎng)絡(luò)文件系統(tǒng)（CommonInternetFileSystem，CIFS）UNIX：網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem，NFS）1Samba工作原理Samba服務(wù)概述Samba基于NetBIOS協(xié)議，在小型局域網(wǎng)內(nèi)部進行網(wǎng)絡(luò)通信根據(jù)NetBIOS協(xié)議，主機必須有一個唯一的名字，即NetBIOSNameNetBIOS協(xié)議的通過包括兩個步驟加入到相同的群組并登錄對方主機根據(jù)擁有的權(quán)限訪問共享資源Samba使用兩個守護進程實現(xiàn)主機的通信nmbd：負責(zé)名稱解析及文件瀏覽，工作在137,138/UDP端口smbd：提供文件和打印機共享及用戶驗證服務(wù)，工作在139,445/TCP端口1Samba聯(lián)機模式－對等模式Samba服務(wù)概述各臺主機之間沒有主從關(guān)系，彼此獨立每臺主機都獨立地管理自己的賬號和密碼在主機A上輸入主機B的賬號和密碼，并交由主機B進行賬戶驗證主機多了會有什么問題？1Samba聯(lián)機模式－主控模式Samba服務(wù)概述所有主機的賬號和密碼都保存在主域控制器（PrimaryDomainController，PDC）上主域控制器進行用戶驗證，并根據(jù)驗證結(jié)果給予用戶適當(dāng)?shù)脑L問權(quán)限所有的驗證操作都交給主域控制器2Samba服務(wù)端配置2Samba安裝與啟停Samba服務(wù)端配置軟件名稱：samba后臺守護進程：smb[root@centos7~]#yuminstallsamba-y //一鍵安裝Samba[root@centos7~]#rpm-qa|grepsamba //安裝后再次查看samba-4.10.16-5.el7.x86_64samba-client-libs-4.10.16-5.el7.x86_64systemctlstart|stop|restart|status|enablesmb2Samba服務(wù)器的搭建步驟Samba服務(wù)端配置安裝Samba軟件配置Samba服務(wù)端創(chuàng)建共享目錄添加Samba用戶啟動Samba服務(wù)在Samba客戶端訪問共享資源2Samba主配置文件－smb.confSamba服務(wù)端配置位于/etc/samba目錄參數(shù)配置的基本格式是“參數(shù)名=參數(shù)值”以“#”開頭的行表示注釋以“;”開頭的行表示Samba參數(shù)，可忽略[global]workgroup=SAMBAsecurity=user[homes]comment=HomeDirectoriesvalidusers=%S,%D%w%S2Samba主配置文件－全局參數(shù)Samba服務(wù)端配置全局參數(shù)的配置對整個Samba服務(wù)器有效“[global]”之后的部分表示全局參數(shù)Samba全局參數(shù)功能說明workgroup=工作組名稱設(shè)置工作組名稱，使用Samba服務(wù)的主機的工作組名稱要相同netbiosname=NetBIOSName同一工作組內(nèi)的主機擁有唯一的NetBIOSNameserverstring=服務(wù)器描述信息默認顯示Samba版本，改為有實際意義的服務(wù)器描述信息interfaces=網(wǎng)絡(luò)接口指定Samba監(jiān)聽哪些網(wǎng)絡(luò)接口hostsallow=允許主機列表設(shè)置主機白名單，白名單里的主機可以訪問Samba服務(wù)器資源hostsdeny=禁止主機列表設(shè)置主機黑名單，黑名單里的主機禁止訪問Samba服務(wù)器資源logfile=日志文件名設(shè)置Samba服務(wù)器上日志文件的存儲位置和日志文件名稱maxlogsize=最大容量設(shè)置日志文件的最大容量，以KB為單位，值為0表示不做限制security=安全性級別設(shè)置Samba客戶端的身份驗證方式2Samba主配置文件－共享參數(shù)Samba服務(wù)端配置共享參數(shù)用來設(shè)置共享域的屬性共享域的格式是“[共享名]”，表示共享資源對外顯示的名稱Samba共享參數(shù)功能說明comment共享目錄的描述信息path共享目錄的絕對路徑browseable共享目錄是否可以瀏覽public是否允許用戶匿名訪問共享目錄readonly共享目錄是否只讀writable共享目錄是否可寫validusers允許訪問Samba服務(wù)的用戶和組invalidusers禁止訪問Samba服務(wù)的用戶和組readlist對共享目錄只有讀權(quán)限的用戶和組writelist可以在共享目錄內(nèi)進行寫操作的用戶和組hostsallow允許訪問該Samba服務(wù)器的主機IP或網(wǎng)絡(luò)hostsdeny不允許訪問該Samba服務(wù)器的主機IP或網(wǎng)絡(luò)[docs]comment=PublicResourcepath=/ito/pubbrowseable=yeswritable=noadminusers=ssvalidusers=@ito2Samba主配置文件－參數(shù)變量Samba服務(wù)端配置參數(shù)變量就是“占位符”，會被實際的參數(shù)值取代Samba參數(shù)變量功能說明%S當(dāng)前服務(wù)名%LSamba服務(wù)器的NetBIOSName%mSamba客戶端的NetBIOSName%hSamba服務(wù)器的主機名（hostname）%MSamba客戶端的主機名（hostname）%HSamba用戶的主目錄%ISamba客戶端的IP地址%U當(dāng)前連接Samba服務(wù)的用戶名%g當(dāng)前用戶所屬的用戶組%D當(dāng)前用戶所屬的域或工作組名稱%TSamba服務(wù)器的日期與時間%vSamba服務(wù)器的版本[homes]comment=HomeDirectorybrowseable=nowritable=yesvalidusers=%S2添加Samba用戶Samba服務(wù)端配置Samba用戶必須對應(yīng)一個同名的Linux系統(tǒng)用戶先創(chuàng)建Linux用戶，然后使用smbpasswd命令添加Samba用戶[root@centos7~]#useraddsmbuser[root@centos7~]#passwdsmbuser新的密碼：

重新輸入新的密碼：

passwd：所有的身份驗證令牌已經(jīng)成功更新。[root@centos7~]#smbpasswd-asmbuserNewSMBpassword:RetypenewSMBpassword:Addedusersmbuser.smbpasswd[-axden][用戶名]選項功能說明-a增加Samba用戶并設(shè)置密碼-x刪除Samba用戶-d凍結(jié)Samba用戶-e解凍（恢復(fù)）Samba用戶-n將Samba用戶密碼置空密碼可以不同3Samba客戶端驗證3Linux客戶端驗證－smbclientSamba客戶端驗證yuminstallsamba-client-y[zys@smbcli~]$smbclient//00/docs-UzsuserEnterSAMBA\zsuser'spassword: <==輸入zsuser的Samba密碼smb:\>putfile1 <==上傳測試文件smb:\>ls <==查看服務(wù)器中文件file1A0SunDec419:41:552022smb:\>quit <==退出交互環(huán)境3Windows客戶端驗證－方式一Samba客戶端驗證依次選擇【開始】→【附件】→【運行】選項，彈出【運行】對話框，在【打開】文本框中輸入Samba服務(wù)器的訪問路徑3Windows客戶端驗證－方式二Samba客戶端驗證右擊桌面上的【計算機】圖標(biāo)，在彈出的快捷菜單中選擇【映射網(wǎng)絡(luò)驅(qū)動器】選項或者雙擊【計算機】圖標(biāo)，選擇【工具】→【映射網(wǎng)絡(luò)驅(qū)動器】選項。彈出【映射網(wǎng)絡(luò)驅(qū)動器】對話框，輸入Samba服務(wù)器共享資源的路徑任務(wù)21NFS服務(wù)概述NFS服務(wù)配置與管理2NFS服務(wù)端配置3NFS客戶端驗證1NFS服務(wù)概述1NFS服務(wù)概述NFS服務(wù)概述網(wǎng)絡(luò)文件系統(tǒng)：NetworkFileSystem主流的異構(gòu)平臺共享文件系統(tǒng)，支持用戶在不同的系統(tǒng)之間通過網(wǎng)絡(luò)共享文件NFS服務(wù)器是文件資源的實際存放地，NFS客戶端能夠像訪問本地資源一樣訪問NFS服務(wù)器中的文件資源提供透明文件訪問以及文件傳輸服務(wù)能發(fā)揮數(shù)據(jù)集中的優(yōu)勢，降低NFS客戶端的存儲空間需求配置靈活，性能優(yōu)異，能夠根據(jù)不同的應(yīng)用需要靈活調(diào)整2NFS服務(wù)端配置NFS安裝與啟停軟件名稱：nfs-utils后臺守護進程：nfs[root@centos7~]#yuminstallrpcbind-y //NFS依賴RPC服務(wù)[root@centos7~]#yuminstallnfs-utils-y[root@centos7~]#rpm-qa|grep-E'rpcbind|nfs-utils‘ //安裝后檢查nfs-utils-1.3.0-0.61.el7.x86_64rpcbind-0.2.0-47.el7.x86_64systemctlstart|stop|restart|status|enablenfs2NFS服務(wù)端配置2NFS主配置文件－/etc/exportsNFS服務(wù)端配置每一行代表一個共享目錄，包括共享目錄、客戶端和選項3部分共享目錄：用絕對路徑表示的共享目錄名客戶端：一個或多個客戶端，有多種表示方式選項：表示NFS服務(wù)器為NFS客戶端提供的共享選項，也就是允許客戶端以何種方式使用共享目錄[root@centos7~]#vim/etc/exports/datashare0(rw,sync,no_sub_tree)/24(ro)共享目錄客戶端1(選項1)客戶端2(選項2)…客戶端2(選項3)2NFS主配置文件－客戶端表示方式NFS服務(wù)端配置客戶端有多種表示方式，可以是單臺主機的實際IP地址或IP網(wǎng)段，也可以是完整主機名或域名。其中，主機名還可以使用通配符客戶端表示方式含義0指定IP地址對應(yīng)的客戶端/24指定IP網(wǎng)段下的所有客戶端指定完整主機名對應(yīng)的客戶端*.指定域名下的所有客戶端2NFS主配置文件－選項NFS服務(wù)端配置對于同一共享目錄，可以為不同的客戶端設(shè)定不同的共享選項多個共享選項用逗號進行分隔2NFS相關(guān)命令－exportfsNFS服務(wù)端配置使用exportfs命令在不重啟服務(wù)的情況下應(yīng)用新配置選項功能說明-a打開或取消所有目錄共享-r重新讀取/etc/exportfs文件中的配置并使其立即生效-v當(dāng)共享或者取消共享時，輸出詳細信息-u取消一個或多個目錄的共享exportfs[-arvu]2NFS相關(guān)命令－showmountNFS服務(wù)端配置顯示NFS服務(wù)器文件系統(tǒng)的掛載信息選項功能說明-a顯示連接到某NFS服務(wù)器的客戶端主機名和掛載點目錄-d僅顯示被客戶端掛載的目錄名-e顯示NFS服務(wù)器的共享目錄清單showmount[-ade]3NFS客戶端驗證3NFS客戶端驗證NFS客戶端驗證手動掛載：使用mount命令，掛載NFS共享目錄mount-tnfs00:/webdata/nfsdata自動掛載：修改/etc/fstab文件，掛載NFS共享目錄00:/webdata/nfsdatanfsdefaults00任務(wù)31DHCP服務(wù)概述DHCP服務(wù)配置與管理2DHCP服務(wù)端配置3DHCP客戶端驗證1DHCP服務(wù)概述1DHCP的功能DHCP服務(wù)概述IP地址分配更加安全可靠非常適合移動辦公環(huán)境減輕網(wǎng)絡(luò)管理員的管理負擔(dān)緩解IP地址資源緊張的問題1DHCP的工作過程DHCP服務(wù)概述DHCP客戶端以廣播方式發(fā)送一個DHCP發(fā)現(xiàn)報文DHCP服務(wù)器收到DHCP發(fā)現(xiàn)報文后，從IP地址池中選取一個未租用的IP地址，以DHCP提供報文的形式廣播發(fā)送給DHCP客戶端DHCP客戶端收到DHCP提供報文后，以廣播方式向DHCP服務(wù)器發(fā)送DHCP請求報文被選擇的DHCP服務(wù)器收到DHCP請求報文后，以廣播方式向DHCP客戶端發(fā)送一個DHCP確認報文2DHCP服務(wù)端配置DHCP安裝與啟停軟件名稱：dhcp后臺守護進程：dhcpd[root@centos7~]#yuminstalldhcp-y //一鍵安裝DHCP軟件[root@centos7~]#rpm-qa|grepdhcp

//安裝后再次檢查dhcp-4.2.5-68.el7.centos.1.x86_64dhcp-common-4.2.5-68.el7.centos.1.x86_64dhcp-libs-4.2.5-68.el7.centos.1.x86_64systemctlstart|stop|restart|status|enabledhcpd2DHCP服務(wù)端配置2主配置文件－/etc/dhcp/dhcpd.confDHCP服務(wù)端配置注釋信息以“#”開頭，可以出現(xiàn)在文件的任意位置除了右大括號“}”之外，其他每一行都以“;”結(jié)尾包括參數(shù)、選項和聲明三種要素#全局配置參數(shù)或選項;

#局部配置聲明{

參數(shù)或選項;}參數(shù)：主要用來設(shè)定DHCP服務(wù)器和客戶端的基本屬性，格式是“參數(shù)名參數(shù)值;”選項：配置分配給DHCP客戶端的可選網(wǎng)絡(luò)參數(shù)，以“option”關(guān)鍵字開頭，如“option參數(shù)名參數(shù)值;”聲明：以某個關(guān)鍵字開頭，后跟一對大括號，用來設(shè)置IP地址空間，以及綁定IP地址和DHCP客戶端MAC地址2主配置文件－聲明DHCP服務(wù)端配置subnet聲明用于定義IP地址空間host聲明實現(xiàn)IP地址和DHCP客戶端MAC地址的綁定，用于為DHCP客戶端分配固定的IP地址subnet

subnet_id

netmask

netmask{

……}

host

hostname{

……}2主配置文件－參數(shù)和選項DHCP服務(wù)端配置通過不同的參數(shù)和選項為聲明指定具體的行為參數(shù)或選項說明rangeIP地址池地址范圍default-lease-time默認租約時間max-lease-time最大租約時間optiondomain-nameDNS域名optiondomain-name-servers域名服務(wù)器optionrouters默認網(wǎng)關(guān)optionbroadcast-address子網(wǎng)廣播地址fixed-address為客戶端分配的固定IP地址hardwareDHCP客戶端的MAC地址server-nameDHCP服務(wù)器的主機名[root@appsrv~]#vim/etc/dhcp/dhcpd.confsubnetnetmask{range9;range0100;optionrouters54;optiondomain-name"";optiondomain-name-servers00;}

hostclient1{hardwareethernet00:0C:29:B3:41:89;fixed-address88;}3DHCP客戶端驗證3DHCP客戶端驗證－Windows客戶端DHCP客戶端驗證3DHCP客戶端驗證－Linux客戶端DHCP客戶端驗證在網(wǎng)卡配置文件中設(shè)置DHCP獲取IP地址，重啟網(wǎng)絡(luò)服務(wù)[root@dhcpcli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=dhcp#IPADDR=00#PREFIX=24#GATEWAY=#DNS1=[root@dhcpcli~]#systemctlrestartnetwork[root@dhcpcli~]#ifconfigens33ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet

netmask

broadcast55任務(wù)41DNS服務(wù)概述DNS服務(wù)配置與管理2DNS服務(wù)端配置3DNS客戶端驗證1DNS服務(wù)概述1主機名和域名DNS服務(wù)概述域名：由一串用點號分隔的名稱組成的命名空間的名稱主機名：計算機在局域網(wǎng)中的唯一的名稱域名空間是分級的，最上面一層被稱為根域，用“.”表示從根域向下依次劃分為頂級域、二級域等子域，最下面一級是主機完全限定域名（FullyQualifiedDomainName，F(xiàn)QDN）是計算機的主機名和域名的組合FQDN主機名域名1域名解析歷史DNS服務(wù)概述早期，在文件中保存域名和IP地址的對應(yīng)關(guān)系，內(nèi)容更新不靈活現(xiàn)在，基于分布式數(shù)據(jù)庫的域名系統(tǒng)（DomainNameSystem，DNS），將域名解析的功能分散到不同層級的DNS服務(wù)器中，可靠性和靈活性較高[zys@centos7~]$cat/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain61DNS工作原理－分級管理DNS服務(wù)概述DNS域名空間是分級的，DNS服務(wù)器也是分級每一個DNS服務(wù)器只記錄管理它的下一級域名的各個DNS服務(wù)器的IP地址根域位于最頂層，管理根域的DNS服務(wù)器稱為根域服務(wù)器頂級域位于根域的下一層，頂級域服務(wù)器負責(zé)管理頂級域名的解析，如.com、.org、.gov、.cn、.usDNS把域名的解析權(quán)限層層向下授權(quán)給下一級DNS服務(wù)器，即分級管理1DNS服務(wù)器類型DNS服務(wù)概述主DNS服務(wù)器（Primary?Name?Server）對它所管理區(qū)域的域名解析提供最權(quán)威和最精確的響應(yīng)，是所管理區(qū)域域名信息的初始來源從DNS服務(wù)器（Secondary?Name?Server）主DNS服務(wù)器中獲得完整的域名信息備份，也可以對外提供權(quán)威和精確的域名解析高速緩存DNS服務(wù)器（Caching-only?Server）把從其他DNS服務(wù)器獲得的域