linux管理(高级).ppt

配置网络,第一节,目标1,了解Linux网络术语,了解Linux网络术语,设备：置入系统的网络适配器 链接：设备到网络的连接 地址：ip地址 广播：网络广播地址 路由：Ip包从源到目的地址所通过的路径,了解Linux网络术语,Linux中的网络接口：第一个网卡为eth0,第二个网卡为eth1等等.lo为一个本地的回环接口,目标2,配置网络连接,网络配置基础,Ifconfig：ifconfig interface address option,Ifconfig interface:alias ,网络配置基础,route:显示或者修改路由记录 Host route:通向某个主机的路由记录 Network route:通向某个网络/网段的路由记录 Default route:默认路由 route add default gw address,网络配置基础,route n:显示当前的路由表，不做名字解析,网络配置基础,route配置文件 :/etc/sysconfig/network/ruotes,如何启用路由功能？,修改/etc/sysconfig/sysctl：IP_FORWARD=“yes”,目标3,Ip工具,配置网络,ip命令工具: 查看网卡的状况 ip address show device：查看某个网卡的配置参数 ip address show eth0 ip link show device:查看某个网卡的具体属性 ip link show eth0 ip -s link show device：查看某个网卡收发数据包的情况 ip s link show eth0,配置网络,配置网卡地址： ip address add /16 broadcast 55 dev eth0 ip address del /16 broadcast 55 dev eth0 网卡配置文件：/etc/sysconfig/network/ifcfg-ethx,配置网络,路由相关 ip route show :查看当前路由 ip route add /32 via dev eth0 ip route del ip route change .,配置网络,配置主机名和名字解析： 设置主机名：/etc/HOSTNAME 设置名字解析：/etc/resolv.conf,配置网络,网络测试工具： Ping ping f x.x.x.x :flood ping(不延时发包,”.”表示发送echo_request,” ”表示收到echo_reply). ping b 55 (允许发echo_request包到整个网段的广播地址) ping c number x.x.x.x(指定发送几次) ping l number x.x.x.x (preload，不等echo_reply,预发多少个echo_request包),配置网络,traceroute: 路由探测,通过发送3个udp数据包到目的地址的一个超大udp端口来探测路由，ttl值是从0开始依次增加，直到目的地址返回端口不可用消息。,配置网络,netstat:查看当前网络活动连接（连接分两个block:internet connection和unix domain） netstat an |less :查看所有的链接 netstat ltupn |less :查看本地所有处在监听状态的internet connection.可以用来查看本地开启了哪些服务 netstat tupn | less: 查看本地的dup会话和已经建立连接的tcp session。,配置网络,监视网络流量：tcpdump option expression tcpdump -n -i ethx ：监听某个网卡上所有的流量 tcpdump nv -i ethx icmp/tcp/udp/：监听某个协议的流量 tcpdump nv i ethx host x.x.x.x:监听源地址或者目的地址为某个ip地址的流量 tcpdump nv -i tcp port 22 and src host x.x.x.x and dst host y.y.y.y:监听从x.x.x.x到y.y.y.y中源tcp端口或者目的tcp端口为22的网络流量,配置网络服务,第二节,目标1,网络打印服务,网络打印服务,1。配置和管理网络打印服务 CUPS(Common Unix printing System):Sles默认的打印系统 CUPS是如何工作的？ 由用户创建一个打印任务 打印文件被保存到一个队列中；/var/spool/cups会生关于这个任务的两个文件，一个文件包含打印数据，另一个文件包含该任务的一些信息（谁提交的，提交到哪台打印机） CUPSD从队列中收集要打印的文件，确定打印的数据类型，转换成打印机指定的数据类型，然后把打印数据发送给打印机 printer接受数据然后开始打印 打印数据完全传输给打印机以后，从队列里删除,网络打印服务,相关配置文件： /etc/cups/printers.conf:定义本地可用的打印机 /etc/cups/ppd:该目录下会产生一个对应的ppd文件，包括了一些打印的参数（纸张大小等） /etc/printcap:由cupsd自动根据printers.conf文件创建的，该文件无法修改。（有些应用程序会读该文件的内容） /var/spool/cups/：该目录下会产生打印文件,目标2,DNS SERVER,DNS SERVER,理解dns的运作 早期名字解析过程：hosts.txt internet域的概念: FQDN ： ,NIC,DNS SERVER,DNS服务器类别,DNS SERVER,DNS的查询过程 www.suse.de,本地缓存和/etc/hosts文件,本地缓存,DNS SERVER,bind的配置文件 /etc/namd.conf: bind服务器的配置文件 /var/lib/named :目录下包含 dns的数据库文件 /var/lib/named/root.hint: root域的dns服务器地址. 启动停止服务：rcnamed start/stop. 三条必须的实体： root.hint 正向解析本地主机 反向解析本地主机,DNS SERVER,配置cache-only server:默认配置，不用修改 修改客户端dns地址为cache-only server，能够正常解析。 配置当前域的mater服务器 修改cache-only server配置文件 添加自定义域的zone文件（正向和反向） 手工创建纪录信息在zone文件中,DNS SERVER,zone文件的结构：,DNS SERVER,配置master server的named.conf文件,DNS SERVER,配置MASTER的zone文件,DNS SERVER,DNS SERVER,反向解析文件,DNS SERVER,localhost.zone,DNS SERVER,配置slave服务器的/etc/named.conf,DNS SERVER,还需要在master的zone文件中添加一条NS记录,DNS SERVER,使用命令行工具查询dns服务器 dig： dig nameserver name type dig nameserver x ipaddress host: host computer nameserver nslookup:,目标3,OPENLDAP,OPENLDAP,3.openldap 目录服务的概念： 一个目录是一个特殊的数据库，它为读，浏览和搜索进行了优化。目录可以用来保存描述性的，基于属性的信息，并且支持复杂的过滤搜索能力。目录通常不支持在一般的数据库管理系统中支持的复杂的事务处理或者回滚机制这些机制是为处理大容量的复杂更新操作而设计的。目录更新只是简单的“所有或者没有”的更新如果它们被允许的话。目录被优化为针对大量的查找或者搜索操作进行快速的响应。它们可以具有大范围复制信息的功能，以便提高可用性和可靠性，同时缩短响应时间。,OPENLDAP,LDAP基础：ldap代表轻量级目录访问协议。 Ldap树形结构,OPENLDAP,通过ldapadd 把ldif格式的 数据插入目 录,OPENLDAP,从LDAP服务器 查询信息 Ldapsearch -x,目标4,NFS,NFS,4.NFS-配置网络文件系统 nfs有什么用？ 网络文件系统,设计用来通过网络共享文件和目录的。共享的文件在服务端导出，然后在客户端导入。,NFS,如何配置nfs服务器 用yast配置,NFS,手工配置nfs server: /etc/exports配置文件决定什么目录（子目录自动）要以什么权限被export给哪些主机访问。 格式:directory host(option1,option2,option3) 注意：host和权限的括号之间不允许有任何的空格存在，每组（host加上权限）之间用空格隔开。 host:/ /24 *.,NFS,option列表参数: async:异步执行 sync: 同步执行 rw:可读写权限export出去 root _squash: 映射本地root到nfs服务器上一个匿名用户 all_squash ：映射所有的用户到nfs服务器上一个匿名用户 anonuid :设置匿名用户的id anongid:设置匿名用户的组id rcnfsserver start /restart /stop,NFS,nfs客户端配置：实际上是一个mount 用yast配置nfs客户端,defaults (rw,suid,dev,exec, auto,nouser,async),NFS,如何作一个临时export？ exportfs -o ro,root_squash,sync /24:/software (可以在/var/lib/nfs/etab查看系统当前export的目 录，执行exportfs -r恢复),NFS,手工配置nfs客户端： /etc/fstab或者mount mount t nfs -o soft sun:/training/home /home,第五节,SAMBA,SAMBA,什么是samba? smb(基于netbios协议)是一个可以用来在windows网络环境中提供文件和打印服务的协议。samba是一个可以让linux使用smb来提供文件和打印服务的服务器软件，一般用它来做windows环境中的文件服务器。 samba的组成 samba服务器：服务端包括smbd和nmbd两个守护进程。 smbd-告诉客户端共享了哪些内容；nmbd-告诉客户端自己的工作组和netbios名字。,用/servername/sharename来访问sles上的目录 从windows网上邻居访问sles 还有打印机。,SAMBA,samba提供了两个小工具: smbclient:小工具,用来在linux下访问samba提供文件和打印共享服务 nmblookup:用来在Linux下测试和解析netbios名字。 testparm:测试/etc/samba/smb.conf配置文件的语法 rcsmb start:启动samba服务 rcnmb start:启动nmb服务,SAMBA,samba配置文件（/etc/samba/smb.conf）分析： 全局部分：global workgroup = xxx netbios name = xxx secutiry = share | user （sles9默认是user）,SAMBA,共享部分：除了global,每个section都是一个共享资源 sharename valid users = user1,user2,user3,user4 。(如果为空，那么任何用户可以访问) comment = xxx path = /x/x/x read only = yes|no guest ok = yes|no（访问共享文件不需要密码） browseable = no (共享能否显示) hosts allow = /,SAMBA,homes部分： 当服务器受到资源请求（/servername/sharename），如果没有在smb.conf里面找到匹配的共享文件夹，便会把请求的服务名(sharename)作为用户名去/etc/smbpasswd文件中查找是否有该用户，如果有，而且用户输入的密码正确，创建以该用户名为共享名的共享文件夹，路经为该用户主目录。如果没有,系统提示错误,特殊的section,SAMBA,SAMBA,/etc/samba/smbpasswd,SAMBA,如何配置用户验证? 1.需要在你的 sharenamesection里添加 valid users = user1,user2,user2 注意：samba的用户验证中，所有的用户名都必须是在/etc/passwd中存在的，也就是必须是系统中的实际用户 修改完smb.conf文件以后，需要为用户设置密码 smbpasswd a username smbpasswd username,SAMBA,在linux上使用客户端工具访问smb共享 用nmblookup 解析netbios名字 使用smbclient 访问smb共享： smbclient -L /hostname:浏览连接 smbclient -L /hostname -U username：以某个用户登录 smbclient /hostname/sharedata -U name：以某个用户名访问 get filename:下载文件到本地 put filename:上传本地文件,第六节,NTP,NTP,网络时间协议（NTP）是一种在网络计算机上同步计算机时钟的的协议。这个协议由特拉华大学的David Mills 研发。与类似协议的相同之处是，NTP现在是一个因特网标准，NTP使用的调整的格林尼治时间（UTC）对计算机时钟的时间进行同步，精确到毫秒，有时比毫秒的精度还要高 。,Ntp,NTP的工作模式： 主/被动对称模式：一对一的连接，双方均可同步对方或被对方同步，先发出申请建立连接的一方工作在主动模式下，另一方工作在被动模式下。 客户/服务器模式：与主/被动模式基本相同。唯一区别在于，客户方可被服务器同步，但服务器不能被客户同步。 广播模式：一对多的连接，服务器不论客户工作在何种模式下，主动发出时间信息，客户由此信息调整自己的时间,NTP,STRATUM,NTP,从命令行启动ntp rcntpd start 使用Ntpdate调整时间 rcntpd stop ntpdate timeserver hoclock systohc rcntpd start,NTP,配置ntp服务器（/etc/ntp.conf）,配置因特网服务,第三节,目标1,XINET,配置网络服务,什么是xinet? 一个daemon,负责管理和启动其他许多服务。它接受客户端 的请求，然后启动相应的服务，再把请求传递给该服务。如 果客户端和服务之间的数据交互结束，那么xinet会立即把该 服务从内存中清空。 服务只有在需要的时候才被启动，不用长期占驻内存空间和系统资源。 xinet作为一个客户端和服务端的中间者，会存在延时。,配置网络服务,xinet管理telnet服务,配置网络服务,用xinet来管理netstat(yast) 测试： telnet netstat/15 如何手工配置xinet： /etc/xinetd.conf /etc/xinetd.d,配置网络服务,配置访问控制,配置网络服务,配置日志 log_type= file /var/log/xxx 或者SYSLOG facility only_from =空 （服务被禁用但是日志不受影响） log_on_access:决定哪些信息需要被纪录到日志中当服务被启动和退出的时候。(pid,host,userid) log_on_failure：决定哪些信息需要被纪录到日志中当服务不能被启动的时候。(host, uid,attemp),目标2,FTP,配置网络服务,8. 启用ftp服务器 ftp 工作原理： potr模式,配置网络服务,2.passive模式,配置网络服务,pureftpd 配置匿名pureftpd：需要etc/passwd中存在一个FTP用户和主目录 配置匿名ftp虚拟主机：,配置网络服务,3.为授权用户配置ftp 4。配置不在系统中的虚拟用户,目标3,APACHE,APACHE,9.Apache2 web服务器是如何工作的？ web服务器通过internet向请求者传递存储在本地的文件,可以是html文档，也可以是其他的文件格式（jpg,txt,mp3.）。 web服务器通过http包头中的mime来告诉客户端浏览器该文件的类型，应该用什么方式去显示这个文件的内容。 web服务器基于http协议，默认工作在tcp 80端口。,APACHE,Apache服务器：sles9上默认的web服务器是apache. 激活和测试apache服务器 : rcapache2 start http:/localip,APACHE,apache相关文件和目录： documentroot：/srv/www/htdocs，包含测试用的demo页面，apache默认定位文件的目录，需要保证wwwrun用户在对该目录下有相应的权限。 /etc/apache2: 配置文件目录 httpd.conf：总的配置文件，包含了所有其他配置文件 default_server.conf: 默认的web服务器配置文件，其中的配置可以被其他配置文件覆盖。 vhost.d/: 虚拟主机配置文件目录 uid.conf: 指定了apache以什么身份运行。 3. /var/log/apache2: 默认日志目录，包括access log和error log,APACHE,基本的apache配置 了解配置文件的基本规则：directive的概念 修改配置文件后 apache2ctl configtest:测试一下配置文件是否有语法错误 rcapache2 reload,APACHE,option directive FollowSymLinks :The server will follow symbolic links in this directory Indexes :If a URL which maps to a directory is requested, and there is no DirectoryIndex (e.g., index.html) in that directory, then mod_autoindex will return a formatted listing of the directory.,APACHE,虚拟主机 什么是虚拟主机？,,APACHE,APACHE,配置虚拟主机 在/etc/apache2/vhost.d下新建xxx.conf文件。 用法： . 实例： NameVirtualHost （在上启动虚拟主机） ServerAdmin DocumentRoot /www/docs/ ServerName ,APACHE,注意事项： 配置虚拟主机，中必须要有servername和documentroot两个derective. Note, that the “main server“ and any _default_ servers will never be served for a request to a NameVirtualHost IP address (unless for some reason you specify NameVirtualHost but then dont define any VirtualHosts for that address). Argument to directive Note that the argument to the directive must exactly match the argument to the NameVirtualHost directive.,APACHE,Now when a request arrives, the server will first check if it is using an IP address that matches the NameVirtualHost. If it is, then it will look at each section with a matching IP address and try to find one where the ServerName or ServerAlias matches the requested hostname. If it finds one, then it uses the configuration for that server. If no matching virtual host is found, then the first listed virtual host that matches the IP address will be used.,APACHE,As a consequence, the first listed virtual host is the default virtual host. The DocumentRoot from the main server will never be used when an IP address matches the NameVirtualHost directive. If you would like to have a special configuration for requests that do not match any particular virtual host, simply put that configuration in a container and list it first in the configuration file.,配置网络服务,如果是解析到我的主机Ip，会出现哪个页面？ 如果http:/localip访问，会出现哪个页面？,配置网络服务,apache配置实验a 所有配置参数- 在/srv/www/htdocs新建my_web和my_index目录 目录my_web下新建一个index.html文件 查看http:/ipaddress/my_web 实验b 在目录my_index下随意创建几个文件 修改default-server.conf文件:Options Indexes 查看http:/ipaddress/my_index,配置网络服务,虚拟主机配置实验 任意创建两个目录和做虚拟主机的documentroot目录（可以不在/srv/www/下） 新建index.html文件放在和下，内容可区分 在/etc/apache2/vhost.d目录下新建一个xxx.conf文件 编辑xxx.conf文件创建两个虚拟主机,一个叫，另一个叫.并给你的所创建的目录分配允许访问权限 用到的apache directory有 NameVirtualHost virtualhost Documentroot Directory Order allow 最后修改本机/etc/hosts文件，查看和以及http:/ipaddress,配置网络服务,如何限制访问 根据Ip地址限制访问 Order Allow,Deny Allow from Deny from Order Deny,Allow Deny from all Allow from ,2.根据用户验证限制： htpasswd -c /path/filename username htpasswd /path/filename username htpasswd -D /path/filename username,配置网络服务,.htaccess文件,目标4,OPENSSH,Openssh,什么是secure shell? Secure Shell is a program to log into another comp