linux下搭建DHCP服务器.ppt

linux的起源与发展,linux内核项目是由芬兰赫尔辛基大学的linus torvalds创建的 1991年10月，linux第一个公开版0.02版发布 1994年3月，linux 1.0版发布 linus的标志是可爱的企鹅，取自芬兰的吉祥物,page 1/33,linux内核版本2-1,内核版本是由linux内核社区统一进行发布的,page 2/33,2.5.7,2.4.23,奇数,偶数,开发版本,稳定版本,xx.yy.zz,linux发行版有选择使用某个内核版本的权利,linux在企业中的应用,linux作为internet网络服务器的应用 提供web、dns、ftp和e-mail服务 linux作为中小企业内部服务器的应用 提供网络代理、网络防火墙、dhcp和文件共享服务 linux作为桌面环境的应用 可选择使用kde、gnome等多种桌面环境 linux作为软件开发环境的应用 支持c、c+、perl、php、java和python语言的开发,page 3/33,硬盘分区的设备文件,硬盘分区的文件名表示,page 4/33,/dev/hda5,用文件来表示硬件设备,硬盘和分区的结构,page 5/33,硬盘设备/dev/hda,主分区1 /dev/hda1,主分区2 /dev/hda2,逻辑分区1 /dev/hda5,逻辑分区2 /dev/hda6,扩展分区,linux使用的文件系统类型,ext2和ext3都是linux操作系统默认使用的文件系统类型 ext3属于日志文件系统，是ext2文件系统的升级版 swap类型的文件系统在linux系统的交换分区中使用 linux支持对fat格式文件系统（包括fat16和fat32）的读写 linux支持对ntfs文件系统的读取，默认不支持对ntfs文件系统的写入,page 6/33,目录层次结构,linux系统使用树型目录结构，在整个系统中只存在一个根目录（文件系统） linux系统中总是将文件系统挂载到树型目录结构中的某个目录节点中使用,page 7/33,linux命令格式,linux命令的组成部分 命令字 命令选项 命令参数,8,chapter,命令中的其他组成,命令提示符表示命令输入的状态 管理员root用户的提示符“#” rootlocalhost # 普通用户提示符“$” teacherlocalhost $ 命令的各组成部分之间用空格分隔 命令的输入以回车键结束,9,chapter,命令格式举例,$ ls -l /home,10,chapter,命令组成部分间用空格进行分隔,文件、目录操作命令,目录操作命令 ls pwd cd mkdir rmdir 文件操作命令 touch cp rm mv 文本文件查看命令 cat more less head tail,11,chapter,文本编辑器概述,文本编辑器的作用 linux系统中的配置文件以文本文件的形式保存 linux管理员需要通过编辑配置文件进行系统管理 文本编辑器的分类 行编辑器与全屏幕编辑器 字符界面编辑器与图形界面编辑器,12,chapter,linux中的多种文本编辑器,vi linux学习者需要掌握的第一个文本编辑器 大多数linux系统中缺省使用的文本编辑器 emacs 用于编辑程序源代码文件的文本编辑器 nano 在字符界面提供了菜单操作，易用性较好 gedit gnome图形环境中的文本编辑器,13,chapter,vi编辑器的三种模式,vi编辑器中有三种状态模式 命令模式 输入模式 末行模式,14,chapter,vi中三种模式的转换,文件保存与另存为,保存文件 保存对vi编辑器中已打开文件的修改 :w 另存为文件 将vi编辑器中的内容另存为指定文件名 :w myfile,15,chapter,退出vi编辑器的多种方法,未修改退出 没有对vi编辑器中打开的文件进行修改，或已对修改进行了保存，直接退出vi编辑器 :q 保存并退出 对vi编辑器中的文件进行保存并退出vi编辑器 :wq 不保存退出 放弃对文件内容的修改，并退出vi编辑器 :q!,16,chapter,linux网络服务管理,课程目标,使用linux主机作为网络服务器 dhcp与nis ftp服务器 samba实现windows文件共享服务 bind作为dns服务器 apache作为web服务器 sendmail作为邮件服务器 squid代理服务器与iptables防火墙 tcp wrappers和ssh实现系统安全管理 使用客户机对linux服务器进行测试,page 18/41,课程结构,page 19/41,动态地址分配服务和网络信息服务,第1章,本章目标,掌握linux系统中使用dhcp和nis的基本知识 掌握dhcp和nis的服务器配置和客户端使用 使用dhcp服务实现网络地址自动分配 使用nis服务实现主机和用户帐户的同步,page 21/41,本章结构,page 22/41,动态地址分配服务和网络信息服务,dhcp的基本概念,dhcp是进行动态主机配置的网络协议 dhcp协议可以在linux和windows系统中实现 dhcp网络服务的结构中具有服务器和客户机两个角色 dhcp服务器用于为网络中所有的dhcp客户机提供网络配置信息 dhcp客户机向dhcp服务器发出配置请求，并按照服务器返回的信息进行网络配置,page 23/41,dhcp服务能够提供的配置信息,网络接口的ip地址和子网掩码 网络接口ip地址对应的网络地址和广播地址 缺省网关地址 dns服务器地址,page 24/41,安装dhcp服务器软件,rhel4系统的安装光盘中包括rpm格式的dhcp服务器软件包 安装包文件在rhel4的第4张安装光盘中,page 25/41,# rpm -ivh dhcp-3.0.1-12_el.i386.rpm,dhcpd.conf配置文件,dhcpd服务器的主配置文件是 /etc/dhcpd.conf dhcpd.conf文件默认不存在，需要手工建立 系统中提供了配置文件样例可供参考 /usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample dhcpd.conf的手册页提供了详细的配置说明 # man dhcpd.conf,page 26/41,dhcp.conf配置文件的基本格式,声明用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围 subnet netmask 参数由设置项和设置值组成 default-lease-time 21600; max-lease-time 43200; 选项由“option”关键字引导 option routers ; option subnet-mask ;,page 27/41,dhcpd.conf中的全局设置,全局设置作用于整个配置文件 ddns-update-style interim; default-lease-time 21600; max-lease-time 43200; option domain-name ““; option domain-name-servers ,0;,page 28/41,全局设置中一定要包括ddns-update-style设置项，dhcpd才能够正常启动,缺省租约时间使用default-lease-time参数设置，参数值的单位是秒,最大租约时间使用max-lease-time参数设置，参数值的单位是秒,主机所在域的名称使用domain-name选项进行设置,dns服务器的ip地址使用domain-name-servers选项进行设置,使用subnet声明设置子网属性,subnet声明用于在某个子网中设置动态分配的地址和网络属性 subnet netmask range 28 54; option subnet-mask ; option routers ; ,page 29/41,subnet关键字后面设置子网的网络地址，netmask关键字后面设置子网的掩码,subnet中可供动态分配的ip地址范围使用range配置参数设置,subnet-mask选项设置子网内分配ip地址的子网掩码,routers选项设置给dhcp客户端分配的ip地址所使用的缺省网关地址,使用host声明设置主机属性,host用于对单个主机的网络属性进行声明，通常用于为主机（服务器）分配固定使用的ip地址 host server01 hardware ethernet 0:c0:c3:22:46:81; fixed-address 1; option subnet-mask ; option routers ; ,page 30/41,host关键字后面需要为dhcp客户端主机设置主机名称,hardware参数在host声明中用于指定客户端主机的物理地址,fixed-address参数在host声明中用于指定为客户端分配的固定使用的ip地址,subnet-mask和routers选项在host声明中的功能与在subnet声明中相同,多网络接口时需要配置的文件,主机拥有多个网络接口时需要在文件中指定提供dhcp服务的网络接口 在/etc/sysconfig/dhcpd文件中设置 dhcpdargs= 为 dhcpdargs=eth0 eth0是提供dhcp服务的网络接口名称,page 31/41,dhcpd服务的启动与停止,dhcpd服务的启动脚本 /etc/init.d/dhcpd 启动dhcpd服务 # service dhcpd start 停止dhcpd服务 # service dhcpd stop 重新启动dhcpd服务 # service dhcpd restart,page 32/41,查看dhcpd服务器的状态,使用启动脚本查看服务器状态 # service dhcpd status 查看dhcpd服务器的租约文件 租约文件dhcpd.leases中记录了dhcp服务器向dhcp客户机提供租用的每个ip地址的信息 # tail -7 /var/lib/dhcp/dhcpd.leases lease 00 starts 3 2006/04/12 19:38:56; ends 4 2006/04/13 01:38:56; binding state active; next binding state free; hardware ethernet 00:0c:29:0e:cb:e2; ,page 33/41,dhcpd服务器配置实例,子网中包括动态分配地址区域和固定ip地址的dhcpd服务器配置实例 # cat /etc/dhcpd.conf ddns-update-style ad-hoc; default-lease-time 21600; max-lease-time 43200; option domain-name ““; option domain-name-servers ; subnet netmask range 00 00; option subnet-mask ; option routers ; host server01 hardware ethernet b0:c0:c3:22:46:81; fixed-address 1; ,page 34/41,dhcp客户端配置,设置网络接口文件 # cat /etc/sysconfig/network-scripts/ifcfg-eth0 device=eth0 onboot=yes bootproto=dhcp 重新启动网络接口 # ifdown eth0 ; ifup eth0,page 35/41,阶段总结,dhcp服务器可向dhcp客户机提供ip地址、缺省网关地址等配置信息 rhel4系统中包括dhcpd服务器的安装包，需要手工进行安装 dhcpd服务器的主配置文件是dhcpd.conf dhcpd.conf文件中包括声明、参数和选项三类设置内容 linux系统作为dhcp客户机需要设置网络接口配置文件，并重新启动网络接口,page 36/41,阶段练习,查看系统的中dhcpd服务器的配置文件样例 使用netconfig程序配置主机使用dhcp方式配置网络，并查看网络接口配置文件的设置内容,page 37/41,page 38/37,第1章内容回顾,通过dhcp服务器可以对局域网中的主机进行ip地址的集中管理 linux主机作为dhcp客户机，需要在网络接口配置文件中进行设置 使用nis服务器可以实现linux系统中用户帐号等系统信息的集中管理 nis服务器主机中需要运行portmap和ypserv服务程序 nis客户主机中，需要运行ypbind服务程序,ftp服务器,第2章,page 40/37,本章目标,了解ftp服务的基本概念 了解常用的ftp服务器和ftp客户端软件 掌握vsftpd服务器的配置和管理 掌握使用ftp命令对ftp服务器进行测试,page 41/37,本章结构,page 42/37,ftp服务器及基本原理,ftp服务的基本概念 ftp是用于进行文件传输的网络协议 ftp服务中分为服务器和客户机两个角色 ftp服务器的传输模式 主动模式：由服务器主动连接客户机建立数据链路 被动模式：ftp服务器等待客户机建立数据链路 ftp服务器使用的端口 21端口用于与客户机建立命令链路 在主动模式下服务器使用20端口向客户机建立数据链路,page 43/37,主动模式的连接过程,1：ftp客户机由大于1024的n端口向ftp服务器的21端口发出请求建立命令链路,2：ftp服务器由21端口向ftp客户机的n端口回应，确认建立命令链路,3：ftp服务器由20端口向ftp客户机的n+1端口主动建立数据链路连接,4：ftp客户机由n+1端口向ftp服务器的20端口回应，确认数据链路的建立,page 44/37,被动模式的连接过程,1：ftp客户机由大于1024的n端口向ftp服务器的21端口发出请求建立命令链路,2：ftp服务器由21端口向ftp客户机的n端口回应，确认建立命令链路,3：ftp服务器会通过已建立的数据链路通知客户机自己已经打开了大于1024的端口m，用于建路数据链路；当需要传输数据时，ftp客户机会通过n+1端口向ftp服务器的m端口请求建立数据链路,4：ftp服务器在m端口监听到ftp客户机的连接请求后，将从m端口向ftp客户机的n+1端口确认数据链路的建立,page 45/37,常用ftp服务器软件,windows下常用的ftp服务器软件 iis具有ftp服务器的功能 serv-u是流行的ftp服务器软件 linux下的ftp服务器 wu-ftpd出现较早，运行稳定，安全性稍差 proftpd在配置文件和安全性方面有很大改进 vsftpd着重强调服务的安全性，运行效率也很高 vsftpd服务器是本章学习的重点,page 46/37,ftp命令作为ftp客户端,ftp命令是最基本的ftp客户端软件 在linux和windows系统中都默认提供ftp命令 ftp命令的交互环境中使用命令对ftp服务器进行操作 ftp中很多命令与bash中的命令类似 binary设置传输二进制文件，ascii设置传输文本文件 get命令用于下载文件，put命令用于上传文件 mget和mput用于一次下载或上传多个文件 bye命令可退出ftp命令交互环境,page 47/37,ftp客户端软件,ftp客户端软件的特点 运行在图形环境下的窗口程序 可使用鼠标和通过菜单进行操作 用户界面友好，操作方便 常用ftp客户端软件 cuteftp是windows下流行的商业软件 filezilla是windows下运行的开源软件 gftp是linux中gnome桌面环境中运行的ftp客户端软件，是gnome的重要组成部分,page 48/37,安装vsftpd,vsftpd的安装需要注意以下几点 rhel4系统中默认没有安装vsftpd服务器 vsftpd服务器的安装文件位于第1张安装光盘中 安装文件名称是vsftpd-2.0.1-5.i386.rpm 使用rpm命名可顺利安装该软件包 # rpm -ivh vsftpd-2.0.1-5.i386.rpm,page 49/37,vsftpd.conf配置文件,vsftpd.conf是vsftpd服务器的主配置文件 /etc/vsftpd/vsftpd.conf 配置文件中所有的配置项都有相同的格式 anonymous_enable=yes 配置文件中的注释行以“#”开始 配置文件的详细帮助信息可查询手册页 # man vsftpd.conf,page 50/37,vsftpd服务器的缺省配置,vsftpd.conf文件中的缺省配置为： anonymous_enable=yes local_enable=yes write_enable=yes local_umask=022 dirmessage_enable=yes xferlog_enable=yes connect_from_port_20=yes xferlog_std_format=yes pam_service_name=vsftpd userlist_enable=yes listen=yes tcp_wrappers=yes,anonymous_enable设置为“yes”时ftp服务器允许匿名登录,local_enable设置为“yes”时允许本地用户登录,write_enable设置为“yes”时ftp服务器开放对本地用户的写权限,local_umask设置项设置本地用户的文件生成掩码,dirmessage_enable设置为“yes”时当切换到ftp服务器中的某个目录时，将显示该目录下的.message隐含文件的内容,xferlog_enable设置为“yes”时ftp服务器将启用上传和下载日志,connect_from_port_20设置为“yes”时ftp服务器将启用ftp数据端口的连接请求,xferlog_std_format设置为“yes”时ftp服务器将使用标准的ftpd xferlog日志格式,pam_service_name设置pam认证服务的配置文件名称,userlist_enable设置为“yes”时ftp服务器将检查userlist_file设置文件中指定的用户是否可以访问vsftpd服务器,listen设置为“yes”时ftp服务器将处于独立启动模式,tcp_wrappers设置为“yes”时ftp服务器将使用tcp_wrappers作为主机访问控制方式,page 51/37,vsftpd.ftpusers文件,vsftpd.ftpusers用于保存不允许进行ftp登录的本地用户帐号 # head -5 /etc/vsftpd.ftpusers # users that are not allowed to login via ftp root bin daemon adm vsftpd.ftpusers文件中可禁止高权限本地用户登录ftp服务器，提高了系统的安全性,page 52/37,vsftpd.user_list文件,vsftpd.user_list文件具有对vsftpd服务器更灵活的用户访问控制 /etc/vsftpd.user_list 使用vsftpd.user_list文件需要在主配置文件中进行设置 设置禁止vsftpd.user_list文件中的用户登录 userlist_enable=yes userlist_deny=yes 设置只允许vsftpd.user_list文件中的用户登录 userlist_enable=yes userlist_deny=no,page 53/37,匿名用户登录,vsftpd服务器提供匿名用户登录的功能 匿名用户使用的登录用户名 anonymous ftp 匿名ftp用户登录的口令通常是使用用户的e-mail地址，在vsftpd中输入任何字符串或直接回车都可以登录 所有匿名用户都登录到相同的目录中 /var/ftp ftp服务器的匿名登录可用于构建公共的文件下载服务器,page 54/37,vsftpd服务的启动和关闭,服务器启动脚本 启动脚本名称是vsftpd /etc/init.d/vsftpd vsftpd服务需要设置在运行级别3和5自动启动 # chkconfig -level 35 vsftpd on 服务器启动 # service vsftpd start 服务器停止 # service vsftpd stop 服务器状态查询 # service vsftpd status,page 55/37,使用ftp命令登录ftp服务器,ftp命令登录ftp服务器的格式 # ftp 匿名登录 使用用户名anonymous或ftp 登录的ftp根目录为系统目录“/var/ftp” 本地用户登录 使用系统用户帐号和口令登录ftp服务器 登录ftp服务器后的目录为用户宿主目录，用户可转换到系统中的其他目录,page 56/37,ftp本地用户帐号的问题,使用ftp本地用户帐号存在安全性问题 ftp本地用户使用linux系统用户帐号，存在安全隐患 使用虚拟帐号替代本地用户帐号可以增强系统的安全性 本地用户登录ftp目录后可从宿主目录转换到其他目录，不是很安全 可以设置将本地用户禁锢在宿主目录中,page 57/37,将ftp本地用户禁锢在宿主目录中,在vsftpd.conf文件中添加设置项 chroot_local_user=yes 重新启动vsftpd服务 # service vsftpd restart 使用ftp客户端验证 本地用户登录ftp服务器后，宿主目录将作为根（/）目录,page 58/37,阶段总结,ftp是进行文件传输的网络协议 ftp服务器和客户机软件在linux和windows平台都有多种选择 vsftpd是以安全见长的ftp服务器软件 ftp客户端可以是ftp命令或窗口程序 vsftpd服务使用vsftpd.conf文件进行核心配置 vsftpd服务器的启动脚本是vsftpd vsftpd默认配置支持匿名用户登录和本地用户登录,page 59/37,阶段练习,查看vsftpd.conf配置文件的默认设置 使用ftp命令匿名登录ftp服务器,page 60/37,vsftpd中支持的用户类型,匿名用户 使用公共的用户帐号进行登录，通常用于提供公共文件下载服务 本地用户 使用linux系统用户帐号登录，每个用户都使用各自的宿主目录 虚拟用户 使用独立的文件保存虚拟帐号，安全性较好，可替代本地用户,page 61/37,vsftpd虚拟用户帐号的设置步骤,建立虚拟用户口令库文件 生成vsftpd的认证文件 建立虚拟用户所需的pam配置文件 建立虚拟用户所要访问的目录并设置相应权限 设置vsftpd.conf配置文件,page 62/37,vsftpd虚拟用户配置3-1,建立虚拟用户口令库文件 口令库文件中奇数行设置用户名，偶数行设置口令 # vi logins.txt mike pwabcd john pw1234 生成vsftpd的认证文件 安装第2张光盘中的db4-u*软件包 使用db_load命令生成认证文件 # db_load -t -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db 设置认证文件只对用户可读可写 # chmod 600 /etc/vsftpd/vsftpd_login.db,page 63/37,vsftpd虚拟用户配置3-2,建立虚拟用户所需的pam配置文件 手工建立vsftpd.vu文件 # vi /etc/pam.d/vsftpd.vu auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login 建立虚拟用户及要访问的目录并设置相应的权限 建立所有ftp虚拟用户帐号使用的系统用户帐号，并设置该帐号宿主目录的权限 # useradd -d /home/ftpsite virtual # chmod 700 /home/ftpsite/,page 64/37,vsftpd虚拟用户配置3-3,设置vsftpd.conf配置文件 在配置文件中添加虚拟用户的配置内容 guest_enable=yes guest_username=virtual pam_service_name=vsftpd.vu 重新启动vsftpd服务程序 对vsftpd.conf文件修改后需要重新启动vsftpd服务程序 # service vsftpd restart,page 65/37,测试虚拟用户帐号的ftp登录,使用ftp命令登录ftp服务器 使用已配置的虚拟用户名和口令登录ftp服务器，如能够正常登录说明虚拟帐号配置成功 为了系统的安全，缺省配置的虚拟用户只具有较低的用户权限 可以通过为每个虚拟用户建立独立的配置文件增加用户的权限,page 66/37,对虚拟用户设置不同的权限,设置主配置文件 在vsftpd.conf文件中添加用户配置文件目录设置 user_config_dir=/etc/vsftpd_user_conf 建立用户配置文件目录 使用mkdir命令建立用户配置文件目录 # mkdir /etc/vsftpd_user_conf 为虚拟用户建立单独的配置文件 用户配置文件名称与用户名相同 /etc/vsftpd_user_conf/mike /etc/vsftpd_user_conf/john,page 67/37,虚拟用户配置文件中的配置项,每个ftp虚拟用户都可以独立设置其权限 anon_wor