Linux服务器配置与管理II.ppt

《Linux服务器配置与管理II.ppt》由会员分享，可在线阅读，更多相关《Linux服务器配置与管理II.ppt（48页珍藏版）》请在三一办公上搜索。

1、学习情境八 FTP服务器架设与管理,技能目标：1）能够利用telnet远程登录服务器；2）能够实现安全方式远程登录服务器；3）能够架设匿名FTP服务器；4）能够架设实名FTP服务器并进行安全加固；5）能够对用户磁盘空间进行限额。知识目标：1）掌握集成xinetd进程修改与重启方法；2）掌握VSFTPD服务的启动与关闭方法；3）理解/etc/vsftpd.ftpusers文件的作用；4）掌握用户磁盘空间限额的命令与方法。,任务1 远程管理服务器,背景知识：telnet远程登录服务器提供网络上的虚拟连接允许用户通过网络在远程机器上登录在TCP端口23监听连接请求telnet的可执行文件：/usr/

2、sbin/in.telnetd,任务1 远程管理服务器,步骤1：开启telnet服务 1）编辑/etc/xinetd.d/telnet 2)disable=no 3)service xinetd restart步骤2：运行telnet telnet 1）测试本机的telnet服务是否开启？telnet localhost 步骤3：客户端以telnet方式连接服务器（请在Linux与Windows下进行测试）,任务1 远程管理服务器,背景知识：默认情况下，root用户不允许直接用telnet命令远程连接到服务器上，但我们可以使用以下方法：1）以普通用户telnet到服务器上 2）使用 su ro

3、ot#该命令是把普通用户转为root用户。,任务1 远程管理服务器,Telnet的安全性问题讨论：由于telnet登录与操作没有作任何加密，因此在开放的因特网中使用是十分危险的。解决办法：使用SSH，它与telnet的功能类似，在两点间传输的任何数据都是加密的，但要消耗一定的系统资源。,步骤1：检查SSH软件包是否有安装rpm qa|grep ssh步骤2：启动SSH服务service sshd start步骤3：运行ssh ssh 默认以root登陆步骤4：用其它用户进行登陆ssh l 用户名 注意：如果在WINDOWS中SSH 一台LINUX主机，需要使用第三方软件例如PUTTY、WINS

4、CP等软件,任务2 架设匿名FTP服务器,背景知识：,任务2 架设FTP服务器,Linux环境下常用的FTP软件 wu-ftp:配置文件为/etc/ftpaccess proftp:配置文件为/etc/proftpd/proftpd.conf vsftp:配置文件为/etc/vsftpd/vsftpd.confRedHat中使用vsftp作为默认的FTP服务器,任务2 架设FTP服务器,步骤1：启动vsftpd服务 service vsftpd start步骤2：以浏览器方式客户端匿名登录FTP服务器，测试匿名用户能够完成的工作说明：默认的匿名用户共享目录为：/var/ftp 请注意目录的权限

5、！试着下载与上传文件。练习：合法用户以浏览器方式登录FTP服务器 ftp:/用户名：密码服务器地址 成功登录后，浏览器自动连接到用户的主目录，同时对该目录也拥有了完全的访问权限。,任务3 安全加固VSFTP服务器,步骤1：编辑/etc/vsftpd.ftpusers 文件，限制“不允许”登录的帐号。步骤2：编辑/etc/vsftpd/vsftpd.conf文件对配置进行修改anonymous_enable 设置是否允许匿名用户登录anon_upload_enable 匿名用户是否可以上传文件idle_session_timeout 用户在输入两次指令间的最大时间间隔，如果超过这一时间，将断开此

6、次连接ftpd_banner 用户成功登录时，显示的欢迎信息,任务3 安全加固VSFTP服务器,步骤3：修补一个安全漏洞修正一个漏洞 问题讨论：合法用户a1登录，发现用户能够切换到上层目录，这是一个漏洞。解决办法：1）在vsfpd.conf配置文件中打开 chroot_list_file项。2）在vsftpd.conf配置文件中打开chroot_list_enable项。设置是否启用chroot_list_file配置项指定的用户列表文件。3）在/etc目录下建立一个文件vsftpd.chroot_list(如果没有的话），在其中加入用户的名称列表。,设置是否启用chroot_list_fil

7、e配置项指定的用户列表文件。,用于指定用户列表文件，该文件用于控制哪些用户不可以切换到FTP站点根目录的上级目录,任务3 安全加固VSFTP服务器,小技巧：如果用户较多，逐个增加用户到/etc/vsftpd.chroot_list文件中显然效率是低下的。我们可以使用下列命令把用户列表增加到文件中，然后再做相应的处理。cat/etc/passwd|cut f 1 d:/etc/vsftpd.chroot_list,任务3 安全加固VSFTP服务器,步骤4：以FTP客户端软件测试FTP服务器1）安装FTP客户端软件：FlashFXP2）利用FlashFXP登录FTP服务器并进行测试。,命令行模式登

8、录FTP服务器并测试,1）使用ftp XX.XX.XX.XX 登录到FTP服务器 2）输入用户名与密码 3）进入FTP提示符状态 在该状态下，可以进行多种操作get从服务器下载文件mget下载多个文件，支持通配符put向主机上传文件mput向主机 传多个文件bye结束网络连接并退出ftp支持linux目录操作命令，如ls,mkdir,rmdir,cd,pwd,delete等。背景知识：可在提示符状态下输入?以查看所有可用的命令！,匿名登录：登录名为ftp或anonymous，口令为空 匿名用户登录之后，不能离开服务器的匿名目录/var/ftp 匿名用户只能下载不能上传实例：匿名目录/var/f

9、tp里有一个子目录pub，里面创建了一个文本文件test.txt,任务4 用户磁盘限额,背景知识：磁盘限额是针对分区而言的，无法针对某一目录进行限额。步骤1：查看系统分区情况 cat/etc/fstab步骤2：修改/etc/fstab文件，在home分区 加入：defaults,usrquota 表示对用户进行限额步骤3：在/home根目录下建立文件aquota.user touch aquota.user,注意：是usrquota，而不是userquota!,任务4 用户磁盘限额,步骤4：重启系统步骤5：进行磁盘配额情况检查 quotacheck avu步骤6：设置用户的磁盘限额 edquo

10、ta-u 用户名 在打开的配额文件中输入用户限额参数背景知识：（1）软限额 用户使用的磁盘容量或文件数达到这一配额后，系统会警告，但允许用户继续使用。（2）硬限额 用户使用的磁盘容量或文件数达到这一配额后，不允许用户继续上传,任务4 用户磁盘限额,步骤7：开启磁盘限额功能 quotaon-avu 步骤8：查看磁盘限额情况 repquota-a 步骤9：进行用户磁盘限额后的测试小技巧：批量增加相同限额用户 edquota-up a1 a2 a3,学习情境九 架设与管理DNS服务器,技能目标：1）能够配置与管理主DNS服务器；2）能够配置与管理辅助DNS服务器；3）能够安全加固DNS服务器。知识目

11、标：1）掌握DNS服务器配置文件组成；2）掌握辅助DNS数据刷新方式；3）掌握Linux日志查询方法。,背景知识,将名称解析为与此相关的IP地址。DNS是个数据库，在整个因特网上分发，独立于网络拓扑结构。,背景知识,空间命名子树：子树中的每个节点都有一个标注。域名的最大长度不超过255个字符，标注不大于63个字符。,顶级域,com商业机构 edu 教育机构 gov 政府机构int 根据国际条约建立的机构 mil军事机构 net网络机构 org非商业机构顶级域不能用于私有网络注册,背景知识,FQDN（Fully Qualified Domain Name）一个域名由根开始的所有标注组成。绝对名称

12、采用相对于根的方式表示，结尾有根的标注“.”，如www.fjzzy.org.Zone（区域）区域是DNS中实际的管理单位。,背景知识,DNS工作流程,任务1 主DNS配置,通过运行守护神named来实现DNS服务器的功能，也称为BIND(Berkeley Internet Name Daemon)。配置DNS服务器所需的文件/etc/named.conf系统自带，需修改/etc/resolv.conf系统自带，需修改/var/named/named.ca系统自带，无须修改/var/named/db.xxxxxxx需创建/var/named/db.xxxxxxxxx需创建/var/named/l

13、ocalhost.zone修改/var/named/named.local系统自带，需修改,任务1 主DNS配置,步骤1：查看/etc/named.conf的配置（DNS引导文件）,说明：1）用 directory 指定了 named 的资源记录档案目录所在位置为“/var/named”。2）zone.IN type hint;file named.ca;3）zone 0.0.127.in-addr.arpa IN type master;file named.local;allow-update none;,定义了 DNS 系统中的根区域，指定了root zone 的服务器种类(type)为

14、“hint”(也只有这个 zone 会使用这样的种类)。,定义出关于本机名称的 DNS 解释。（反解 zone），并定义该域名服务器为主域名服务器，其数据库文件为：named.local,任务1 主DNS配置,zone“localhost”IN type master;file“localhost.zone”;正解数据库为localhost.zone allow-update none;#不允许客户端自己更新;此DNS记录；此句也可不用Include/etc/rndc.key#表示DNS更新所用的加密处理,任务1 主DNS配置,步骤2：修改引导文件任务要求：设所管辖的域名是：fjzzy.org

15、，主域名服务器IP地址为192.168.1.250，主机名为teacher.fjzzy.org，局域网中还有一台MAIL服务器，IP地址为192.168.1.251。,对/etc/named.conf进行修改在option项中另入一句 forwarders 202.101.102.55;202.101.98.55;在本地无法解析时，转到其它服务器上。注意：配置DNS服务器前请确认网络各项配置！特别是主机名，IP地址。,任务1 主DNS配置,加入主域名服务器正解 zone“fjzzy.org”IN type master;file“db.fjzzy”;#该数据库名可任取;加入主域名服务器逆向解析

16、 zone“1.168.192.in-addr.arpa”IN#请注意这里的书写 type master;file“db.192.168.1”;#该数据库名可任取;,任务1 主DNS配置,步骤3：查看/var/named/named.ca 根域服务器的相关信息。包含13个以“.”为行首的设置内容。可到ftp:/下载最新的文件，并把它更名。特别提醒：该文件不必修改，也不要去修改！,每个DNS数据库都由资源记录构成。数据库文件的每一行都由一条资源记录组成格式为：Domain Time to live Record type Class Record data各项的含义：域名(Domain):给出要

17、定义的资源记录的域名。存活期(Time to live):记录有效的期限。类别(Class):说明网络类型。记录数据(Record data):和该资源记录相关的信息，通常由资源记录类型来决定。记录类型(Record type):说明资源记录的类型。,常用的资源记录类型,A:此记录列出特定主机的IP地址。CNAME:此记录指定标准主机名的别名。MX:此记录列出了负责接收到域中的电子邮件的主机。NS:此记录指定负责给定区域的名称服务器。PTR:反向地址解析。SOA:包含的信息有域名、管理员电子邮件地址、以及指示辅助DNS服务器如何更新区域数据文件的设置等。,任务1 主DNS配置,步骤4：正解数据

18、库文件的建立（建立/var/named/db.fjzzy）定义在“fjzzy.org”域中的主机域名到IP地址的映射。(具体含义下张PPT介绍）$TTL 86400#书写时一定要顶左边写$ORIGIN fjzzy.org.#请注意最右边的.IN SOA teacher.fjzzy.org.(2007110801;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum IN NS teacher.fjzzy.org.#此句左边一定要有空格mail IN A 192.168.1.251www IN A 192.168.1.250

19、 ftp IN A 192.168.1.250,任务1 主DNS配置,说明：第一行的TTL：表示存活期，记录在缓存中停留的时间。第二行ORIGIN 设定说明下面的记录源出何处。第三行 的值就以 named.conf 里的 zone 为准。SOA 表示目前区域的授权记录开始。SOA 后面指定了这个区域的授权主机和管理者的信箱因为“”在 DNS 记录中是个保留字符所以在 SOA 中就用“.”来代替了“”。括号内的内容 Serial：序列号，辅助域名服务器用来和主域名服务器进行数据同步用的，通常用yymmdd加两位数字表示。,任务1 主DNS配置,Refresh：Slave DNS服务器与Maste

20、r DNS服务器同步的时间间隔，在到达这个时间后，Slave会比较Master中的序列号，如果Master的序列号较大，Slave请求更新，默认值为3天。Retry:如果同步不成功，则Slave会在此时间间隔再次尝试同步，默认值15分钟。Expire：如果Slave一直无法同步，在什么时间后放弃。默认值是1周。Minimum：对于那些没有特别指定存活期的资源，该值就为它们的存活期。,任务1 主DNS配置,步骤5：反解数据库的建立（建立/var/named/db.192.168.1）小技巧：此时可复制db.fjzzy文件，然后修改。$TTL 86400 IN SOA teacher.fjzzy.

21、org.webmaster.fjzzy.org.(2006110701;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum IN NS teacher.fjzzy.org.#此句左边一定要有空格251 IN PTR mail.fjzzy.org.250 IN PTR www.fjzzy.org.250 IN PTR ftp.fjzzy.org.,任务1 主DNS配置,步骤6：建立本机正解文件建立/var/named/localhost.zone（该文件已存在，但最好与正解数据库文件格式统一起来）$TTL 86400$OR

22、IGIN localhost.IN SOA localhost.root.localhost.(2006110701;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum#这里最好有一空行 IN NS localhost.IN A 127.0.0.1,任务1 主DNS配置,步骤7：建立本机反解文件修改/var/named/named.local$TTL 86400 IN SOA localhost.root.localhost.(2006110701;Serial 28800;Refresh 14400;Retry 360

23、0000;Expire 86400);Minimum#这里最好有一空行 IN NS localhost.1 IN PTR localhost.特别提醒：这四个文件的语法及书写格式一定要正确！,任务1 主DNS配置,步骤7：修改其他配置文件/etc/resolv.conf 把该文件内容设为：nameserver XX.XX.XX.XX search fjzzy.org 说明：当然你也可以在Xwindow下使用“网络配置”进行设置2./etc/nsswitch.conf 其中有一句：hosts:files nisplus nis dns 表示解析时查询顺序为：/etc/hosts文件，NIS数据库，最后查询域名数据库。因为我们现在还未配置NIS服务，因此该名可改为：hosts:files dns至此，一台DNS服务器配置完毕。,任务1 主DNS配置,步骤8：测试DNS服务器启动DNS服务 service named start利用nslookup命令进行测试 在提示符下输入域名检查正向解析是否正确；输入IP地址检查逆向解析是否正确。（可用Ctrl+z结束）,