Linux服务器配置与管理II.ppt

《Linux服务器配置与管理II.ppt》由会员分享，可在线阅读，更多相关《Linux服务器配置与管理II.ppt（48页珍藏版）》请在三一文库上搜索。

1、学习情境八 FTP服务器架设与管理,技能目标： 1）能够利用telnet远程登录服务器； 2）能够实现安全方式远程登录服务器； 3）能够架设匿名FTP服务器； 4）能够架设实名FTP服务器并进行安全加固； 5）能够对用户磁盘空间进行限额。 知识目标： 1）掌握集成xinetd进程修改与重启方法； 2）掌握VSFTPD服务的启动与关闭方法； 3）理解/etc/vsftpd.ftpusers文件的作用； 4）掌握用户磁盘空间限额的命令与方法。,任务1 远程管理服务器,背景知识：telnet远程登录服务器 提供网络上的虚拟连接 允许用户通过网络在远程机器上登录 在TCP端口23监听连接请求 teln

2、et的可执行文件：/usr/sbin/in.telnetd,任务1 远程管理服务器,步骤1：开启telnet服务 1）编辑/etc/xinetd.d/telnet 2) disable=no 3) service xinetd restart 步骤2：运行telnet telnet 1）测试本机的telnet服务是否开启？ telnet localhost 步骤3：客户端以telnet方式连接服务器（请在Linux与Windows下进行测试）,任务1 远程管理服务器,背景知识： 默认情况下，root用户不允许直接用telnet命令远程连接到服务器上，但我们可以使用以下方法： 1）以普通用户te

3、lnet到服务器上 2）使用 su root #该命令是把普通用户转为root用户。,任务1 远程管理服务器,Telnet的安全性问题讨论： 由于telnet登录与操作没有作任何加密，因此在开放的因特网中使用是十分危险的。 解决办法： 使用SSH，它与telnet的功能类似，在两点间传输的任何数据都是加密的，但要消耗一定的系统资源。,步骤1：检查SSH软件包是否有安装 rpm qa |grep ssh 步骤2：启动SSH服务 service sshd start 步骤3：运行ssh ssh 默认以root登陆 步骤4：用其它用户进行登陆 ssh l 用户名 注意：如果在WINDOWS中SSH

4、一台LINUX主机，需要使用第三方软件例如PUTTY 、WINSCP等软件,任务2 架设匿名FTP服务器,背景知识：,任务2 架设FTP服务器,Linux环境下常用的FTP软件 wu-ftp:配置文件为/etc/ftpaccess proftp:配置文件为/etc/proftpd/proftpd.conf vsftp: 配置文件为/etc/vsftpd/vsftpd.conf RedHat中使用vsftp作为默认的FTP服务器,任务2 架设FTP服务器,步骤1：启动vsftpd服务 service vsftpd start 步骤2：以浏览器方式客户端匿名登录FTP服务器，测试匿名用户能够完成的

5、工作 说明：默认的匿名用户共享目录为：/var/ftp 请注意目录的权限！试着下载与上传文件。 练习：合法用户以浏览器方式登录FTP服务器 ftp:/用户名：密码服务器地址 成功登录后，浏览器自动连接到用户的主目录，同时对该目录也拥有了完全的访问权限。,任务3 安全加固VSFTP服务器,步骤1：编辑/etc/vsftpd.ftpusers 文件，限制“不允许”登录的帐号。 步骤2：编辑/etc/vsftpd/vsftpd.conf文件对配置进行修改 anonymous_enable 设置是否允许匿名用户登录 anon_upload_enable 匿名用户是否可以上传文件 idle_sessio

6、n_timeout 用户在输入两次指令间的最大时间间隔，如果超过这一时间，将断开此次连接 ftpd_banner 用户成功登录时，显示的欢迎信息,任务3 安全加固VSFTP服务器,步骤3：修补一个安全漏洞 修正一个漏洞 问题讨论：合法用户a1登录，发现用户能够切换到上层目录，这是一个漏洞。 解决办法：1）在vsfpd.conf配置文件中打开 chroot_list_file项。 2）在vsftpd.conf配置文件中打开chroot_list_enable项。设置是否启用chroot_list_file配置项指定的用户列表文件。 3）在/etc目录下建立一个文件vsftpd.chroot_li

7、st (如果没有的话），在其中加入用户的名称列表。,设置是否启用chroot_list_file配置项指定的用户列表文件。,用于指定用户列表文件，该文件用于控制哪些用户不可以切换到FTP站点根目录的上级目录,任务3 安全加固VSFTP服务器,小技巧： 如果用户较多，逐个增加用户到/etc/vsftpd.chroot_list文件中显然效率是低下的。我们可以使用下列命令把用户列表增加到文件中，然后再做相应的处理。 cat /etc/passwd | cut f 1 d : /etc/vsftpd.chroot_list,任务3 安全加固VSFTP服务器,步骤4：以FTP客户端软件测试FTP服务器

8、 1）安装FTP客户端软件：FlashFXP 2）利用FlashFXP登录FTP服务器并进行测试。,命令行模式登录FTP服务器并测试,1）使用ftp XX.XX.XX.XX 登录到FTP服务器 2）输入用户名与密码 3）进入FTP提示符状态 在该状态下，可以进行多种操作 get从服务器下载文件 mget下载多个文件，支持通配符 put向主机上传文件 mput向主机 传多个文件 bye结束网络连接并退出ftp 支持linux目录操作命令，如ls,mkdir,rmdir, cd,pwd,delete等。 背景知识：可在提示符状态下输入 ? 以查看所有可用的命令！,匿名登录： 登录名为ftp或ano

9、nymous，口令为空 匿名用户登录之后，不能离开服务器的匿名目录/var/ftp 匿名用户只能下载不能上传 实例：匿名目录/var/ftp里有一个子目录pub，里面创建了一个文本文件test.txt,任务4 用户磁盘限额,背景知识： 磁盘限额是针对分区而言的，无法针对某一目录进行限额。 步骤1：查看系统分区情况 cat /etc/fstab 步骤2：修改/etc/fstab文件，在home分区 加入： defaults,usrquota 表示对用户进行限额 步骤3：在 /home根目录下建立文件aquota.user touch aquota.user,注意：是usrquota，而不是use

10、rquota!,任务4 用户磁盘限额,步骤4：重启系统 步骤5：进行磁盘配额情况检查 quotacheck avu 步骤6：设置用户的磁盘限额 edquota -u 用户名 在打开的配额文件中输入用户限额参数 背景知识： （1）软限额 用户使用的磁盘容量或文件数达到这一配额后，系统会警告，但允许用户继续使用。 （2）硬限额 用户使用的磁盘容量或文件数达到这一配额后，不允许用户继续上传,任务4 用户磁盘限额,步骤7：开启磁盘限额功能 quotaon -avu 步骤8：查看磁盘限额情况 repquota -a 步骤9：进行用户磁盘限额后的测试 小技巧：批量增加相同限额用户 edquota -up

11、a1 a2 a3 ,学习情境九 架设与管理DNS服务器,技能目标： 1）能够配置与管理主DNS服务器； 2）能够配置与管理辅助DNS服务器； 3）能够安全加固DNS服务器。 知识目标： 1）掌握DNS服务器配置文件组成； 2）掌握辅助DNS数据刷新方式； 3）掌握Linux日志查询方法。,背景知识,将名称解析为与此相关的IP地址。 DNS是个数据库，在整个因特网上分发，独立于网络拓扑结构。,背景知识,空间命名子树： 子树中的每个节点都有一个标注。 域名的最大长度不超过255个字符，标注不大于63个字符。,顶级域,com商业机构 edu 教育机构 gov 政府机构 int 根据国际条约建立的机构

12、 mil军事机构 net网络机构 org非商业机构 顶级域不能用于私有网络注册,背景知识,FQDN（Fully Qualified Domain Name ） 一个域名由根开始的所有标注组成。 绝对名称采用相对于根的方式表示，结尾有根的标注“.”，如www.fjzzy.org. Zone（区域） 区域是DNS中实际的管理单位。,背景知识,DNS工作流程,任务1 主DNS配置,通过运行守护神named来实现DNS服务器的功能，也称为BIND(Berkeley Internet Name Daemon)。 配置DNS服务器所需的文件 /etc/named.conf系统自带，需修改 /etc/res

13、olv.conf系统自带，需修改 /var/named/named.ca系统自带，无须修改 /var/named/db.xxxxxxx需创建 /var/named/db.xxxxxxxxx需创建 /var/named/localhost.zone修改 /var/named/named.local系统自带，需修改,任务1 主DNS配置,步骤1：查看 /etc/named.conf的配置（DNS引导文件）,说明： 1）用 directory 指定了 named 的资源记录档案目录所在位置为“/var/named”。 2）zone “.“ IN type hint; file “named.ca“;

14、 ; 3）zone “0.0.127.in-addr.arpa“ IN type master; file “named.local“; allow-update none; ;,定义了 DNS 系统中的根区域，指定了root zone 的服务器种类( type ) 为“hint”(也只有这个 zone 会使用这样的种类)。,定义出关于本机名称的 DNS 解释。（反解 zone ），并定义该域名服务器为主域名服务器，其数据库文件为：named.local,任务1 主DNS配置,zone “localhost” IN type master; file “localhost.zone”; 正解数

15、据库为localhost.zone allow-update none; #不允许客户端自己更新 ; 此DNS记录；此句也可不用 Include /etc/rndc.key #表示DNS更新所用的加密处理,任务1 主DNS配置,步骤2：修改引导文件 任务要求：设所管辖的域名是：fjzzy.org，主域名服务器IP地址为192.168.1.250，主机名为teacher.fjzzy.org，局域网中还有一台MAIL服务器，IP地址为192.168.1.251。,对/etc/named.conf进行修改 在option项中另入一句 forwarders 202.101.102.55;202.101

16、.98.55; 在本地无法解析时，转到其它服务器上 。 注意：配置DNS服务器前请确认网络各项配置！ 特别是主机名，IP地址。,任务1 主DNS配置,加入主域名服务器正解 zone “fjzzy.org” IN type master; file “db.fjzzy”; #该数据库名可任取 ; 加入主域名服务器逆向解析 zone “1.168.192.in-addr.arpa” IN #请注意这里的书写 type master; file “db.192.168.1”; #该数据库名可任取 ;,任务1 主DNS配置,步骤3：查看/var/named/named.ca 根域服务器的相关信息。包含

17、13个以“.”为行首的设置内容。 可到ftp:/ 下载最新的文件，并把它更名。 特别提醒：该文件不必修改，也不要去修改！,每个DNS数据库都由资源记录构成。 数据库文件的每一行都由一条资源记录组成 格式为： Domain Time to live Record type Class Record data 各项的含义： 域名(Domain):给出要定义的资源记录的域名。 存活期(Time to live):记录有效的期限。 类别(Class):说明网络类型。 记录数据(Record data):和该资源记录相关的信息，通常由资源记录类型来决定。 记录类型(Record type):说明资源记录

18、的类型。,常用的资源记录类型,A:此记录列出特定主机的IP地址。 CNAME:此记录指定标准主机名的别名。 MX:此记录列出了负责接收到域中的电子邮件的主机。 NS:此记录指定负责给定区域的名称服务器。 PTR:反向地址解析。 SOA:包含的信息有域名、管理员电子邮件地址、以及指示辅助DNS服务器如何更新区域数据文件的设置等。,任务1 主DNS配置,步骤4：正解数据库文件的建立（建立/var/named/db.fjzzy） 定义在“fjzzy.org”域中的主机域名到IP地址的映射。(具体含义下张PPT介绍） $TTL 86400 #书写时一定要顶左边写 $ORIGIN fjzzy.org.

19、#请注意最右边的. IN SOA teacher.fjzzy.org. . ( 2007110801 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS teacher.fjzzy.org. #此句左边一定要有空格 mail IN A 192.168.1.251 www IN A 192.168.1.250 ftp IN A 192.168.1.250,任务1 主DNS配置,说明： 第一行的TTL：表示存活期，记录在缓存中停留的时间。 第二行ORIGIN 设定说明下面的记录源出何处。 第

20、三行 的值就以 named.conf 里的 zone 为准。 SOA 表示目前区域的授权记录开始。 SOA 后面指定了这个区域的授权主机和管理者的信箱 因为“”在 DNS 记录中是个保留字符所以在 SOA 中就用“.”来代替了“ ”。 括号内的内容 Serial：序列号，辅助域名服务器用来和主域名服务器进行数据同步用的，通常用yymmdd加两位数字表示。,任务1 主DNS配置,Refresh：Slave DNS服务器与Master DNS服务器同步的时间间隔，在到达这个时间后，Slave会比较Master中的序列号，如果Master的序列号较大，Slave请求更新，默认值为3天。 Retry:

21、如果同步不成功，则Slave会在此时间间隔再次尝试同步，默认值15分钟。 Expire：如果Slave一直无法同步，在什么时间后放弃。默认值是1周。 Minimum：对于那些没有特别指定存活期的资源，该值就为它们的存活期。,任务1 主DNS配置,步骤5：反解数据库的建立（建立/var/named/db.192.168.1） 小技巧：此时可复制db.fjzzy文件，然后修改。 $TTL 86400 IN SOA teacher.fjzzy.org. webmaster.fjzzy.org. ( 2006110701 ; Serial 28800 ; Refresh 14400 ; Retry 3

22、600000 ; Expire 86400 ) ; Minimum IN NS teacher.fjzzy.org. #此句左边一定要有空格 251 IN PTR mail.fjzzy.org. 250 IN PTR www.fjzzy.org. 250 IN PTR ftp.fjzzy.org.,任务1 主DNS配置,步骤6：建立本机正解文件 建立/var/named/localhost.zone（该文件已存在，但最好与正解数据库文件格式统一起来） $TTL 86400 $ORIGIN localhost. IN SOA localhost. root. localhost. ( 20061

23、10701 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum #这里最好有一空行 IN NS localhost. IN A 127.0.0.1,任务1 主DNS配置,步骤7：建立本机反解文件 修改/var/named/named.local $TTL 86400 IN SOA localhost. root.localhost. ( 2006110701 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minim

24、um #这里最好有一空行 IN NS localhost. 1 IN PTR localhost. 特别提醒：这四个文件的语法及书写格式一定要正确！,任务1 主DNS配置,步骤7：修改其他配置文件 /etc/resolv.conf 把该文件内容设为： nameserver XX.XX.XX.XX search fjzzy.org 说明：当然你也可以在Xwindow下使用“网络配置”进行设置 2. /etc/nsswitch.conf 其中有一句：hosts: files nisplus nis dns 表示解析时查询顺序为：/etc/hosts文件，NIS数据库，最后查询域名数据库。因为我们现在还未配置NIS服务，因此该名可改为：hosts: files dns 至此，一台DNS服务器配置完毕。,任务1 主DNS配置,步骤8：测试DNS服务器 启动DNS服务 service named start 利用nslookup命令进行测试 在提示符下输入域名检查正向解析是否正确；输入IP地址检查逆向解析是否正确。（可用Ctrl+z结束）,