已阅读5页,还剩166页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
服务器服务配置,主讲人:吴万臣,Samba服务器,Samba 在linux和windows两大平台之间相互共享,文件传输等。 应用环境: 1.文件和打印机共享 2.身份验证和权限设置 3.浏览服务 4.名称解析,工作原理: 1.协议协商 客户端发送negport数据包,告知目标支持的SMB类型,samba服务器选择最优SMB 2.建立连接 客户端发送session指令,提交账号和密码 请求建立连接。服务器为其提供UID,供通信时使用,3.访问共享资源 访问共享资源时,发送tree connect指令数据包,samba服务器为每个客户端与共享资源的连接分配TID 4.断开连接 共享使用完毕,客户端向服务器发送tree disconnect报文关闭共享,与服务器断开连接,Samba相关进程 1.Nmbd:其功能是进行netbios名解析,并提供浏览服务显示网络上的共享资源列表 2.Smbd:主要功能是用来管理samba服务器上的共享目录,打印机等。,安装samba服务 Samba服务需要以下几个软件包 1.samba-3.0.23c-2.i386.rpm Samba服务的主程序(第二张RHEL5光盘) 2.samba-client-3.0.23c-2 Samba的客户端工具(第一张RHEL5光盘),3.samba-common-3.0.23c-2 (第一张RHEL5光盘) 该包存放的是通用的工具和库文件。 4.system-config-samba (第三张RHEL5光盘) Samba图形化管理工具,Samba软件的安装 检测系统是否安装了samba软件包 rpm qa|grep samba 安装所需的软件包 rpm ivh samba-3.0.23c-2.i386.rpm,Samba服务器搭建流程 1.编辑主配置文件smb.conf,指定需要共享的目录,为共享目录设置共享权限 2.在smb.conf文件中指定日志文件名称和存放目录 3.设置共享目录的本地系统权限 4.重新启动服务或加载配置文件,使配置生效,1.主配置文件 Vi /etc/samba/smb.conf 1.将workgroup=mygroup改为workgroup=workgroup 2.将host allow前的“;”去掉,将允许访问此服务器的一台PC或一个网段,卸载“=”后面 Hosts allow = 172.16.11. ,3.设置samba服务器的安全模式 share,user,server,domain,ads 5种安全模式。 Share安全模式 客户端登录samba服务器,不需要用户名和密码。 User安全模式 需要提交用户名和密码,默认为user模式 Server安全模式 客户端需要将用户名和密码,提交到指定的一台samba服务器上验证。 Domain 安全模式 服务器加入到windows域环境中,验证工作由windows域控制器负责。 Ads安全模式 服务器加入到windows域环境中,其含有domain级别中的所有功能,并可以具备域控制器的功能。 在smb.conf中,security=user,z,4.设置共享目录 1)设置共享名 共享名 2)共享资源描述 comment = 注释信息 3)共享路径 path = 完整路径 4)设置匿名访问 public = yes / no 5)设置访问用户 valid users = 用户名 6)设置目录只读 readonly = yes / no 7)设置目录可写 writable = yes / no,例: share Comment = gongxiang Path = /share/tools Public = yes Valid = boss Readonly = yes Writable = yes,2.Samba日志文件 /var/log/samba 存放着客户端网络访问服务器的相关日志 ls /var/log/samba 3.Samba服务密码文件 /etc/samba/smbpasswd 用户名和密码存放在smbpasswd文件中,建立samba账号 Smbpasswd a 账号 Samba账号不能够直接建立,需要建立linux同名系统账号 例: useradd liu smbpasswd a liu 使用cat /etc/samba/smbpasswd查看smbpasswd下的账号,4.Samba服务启动与停止 1) 启动服务 Service smb start 或 /etc/rc.d/init.d/smb start 2) 停止服务 Service smb stop 或 /etc/rc.d/init.d/smb stop,3)重新启动服务 Service smb restart 或 /etc/rc.d/init.d/smb restart 4)服务配置重新加载 Service smb reload 或 /etc/rc.d/init.d/smb reload *在linux服务中,更改配置文件后,一定要记得重启服务,让服务重新加载,才能生效,5.客户端访问samba服务器 1)Windows客户端访问samba服务器 在开始运行 输入samba服务器的IP地址 2)Linux客户端访问samba服务器 1.使用mount将共享目录挂载本地 mount t cifs /samba服务器IP地址/共享目录名 挂载点 o username=用户名,2.使用smbclient命令 先确保samba-client安装 Smbclient L samba服务器IP地址 U 登录用户名%密码,5.自动加载samba服务 1)Chkconfig Chkconfig level 3 smb on/off 运行级别3自动加载或不加载 2)Ntsysv 利用文本图形界面对smb自动加载进行配置,Samba高级服务器配置 1.用户账号映射 Samba服务器的账号必须对应一个同名的系统账号,这对服务器来说并不安全。建议使用虚拟账号。 1)编辑smb.conf Vi /etc/samba/smb.conf 在global下添加一行字段,global Username map = /etc/samba/smbusers 开启用户账号映射功能 2)编辑smbusers Vi /etc/samba/smbusers 打开smbusers文件后,添加账号映射关系 Liu = kuaile happy Liu为本地账号,kuaile ,happy为虚拟账号,3)重新启动samba服务 Service smb restart 2.客户端访问控制 Valid users = 用户名 Valid users = 组名 Valid字段 无法限制客户端访问控制 1)Hosts allow和hosts deny Vi /etc/samba/smb.conf,修改服务器的安全模式为 share 在共享目录中或global下输入下列字段 Hosts deny = 172.16. 192.168.1. Hosts allow = 0 当deny和allow字段中同时出现同一网段IP地址,hosts allow优先 2)使用域名限制 Hosts deny = . .net free 拒绝.域和.net域以及主机free的客户端,* hosts deny和hosts allow两个字段可以设置在global里,表示对samba服务器生效,如果设置在目录下,则表示只对单一目录生效,3.Samba的隐藏共享 browseable = yes 不隐藏目录 browseable = no 隐藏目录 可以为特殊用户独立配置文件 1.cd /etc/samba 2.cp smb.conf smb.conf.用户名 3.vi smb.conf,global Config file = /etc/samba/smb.conf.%U 4.Vi smb.conf.用户名 共享名 Path = /路径 Browseable = yes /no,DHCP服务器,Dhcp Dhcp所需软件包 1.dhcp-3.0.5-3.e15.i386.rpm DHCP主程序 2.dhcp-devel-3.0.5-3.e15.rpm DHCP服务器开发工具软件包,提供库文件 3.dhcpv6-0.10-33.e15.i386.rpm DHCP的IPv6扩展工具,使dhcp服务器支持ipv6 4.dhcpv6_client-0.10-33.e15.i386.rpm DHCP客户端IPv6软件包,帮助客户端获取动态IP,Dhcp的安装 1.检测DHCP安装包 rpm qa|grep dhcp 2.安装软件包 rpm ivh dhcp-3.0.5-3.e15.i386.rpm,DHCP服务器搭建流程 1.编辑主配置文件dhcpd.conf,指定IP作用域,指定分配一个或多个IP地址范围。 2.建立租约数据库文件 3.重新加载文件或重新启动服务 ,使配置生效 * 通常情况下dhcpd.conf文件是不存在的,需要手动建立该文件,1.编辑主配置文件 cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf 当软件包安装好后,会自动生成主配置文件的范本文件,可使用cp复制到/etc下配置 2.Vi /etc/dhcpd.conf (参数配置) 1)全局参数 ddns-update-style none|interim|ad-hoc; 不支持,支持,特殊,DNS动态更新,2.allow/ignore client-updates; 允许/忽略客户端的动态更新请求。 3.default-lease-time number(数字) 定义默认的IP租约时间 (秒) default-lease-time 86400; 4.max-lease-time number(数字) 定义客户端IP租约时间的最大值 max-lease-time 43200;,2)局部参数 subnet 分配地址段 netmask 子网掩码 range dynamic-bootp 起始IP地址 结束IP地址; option routers 默认网关 option subnet-mask 子网掩码 option domain-name-servers DNS服务器的IP地址,绑定IP到某台PC机上 host PC机名称 hardware ehernet MAC地址; fixed-address 要分配的IP地址; 3.DHCP的启动与停止 Service dhcpd start Service dhcpd stop,4.自动加载DHCP服务 1)Chkconfig命令 Chkconfig -level 3 dhcpd on 自动加载 Chkconfig -level 3 dhcpd off 不自动加载 2)ntsysv 使用ntsysv,利用文本图形界面对dhcpd加载,DHCP高级配置 1.Dhcp多作用域 1) 在dhcp服务器上添加多块网卡,每个网卡配置独立的IP地址 2)编辑dhcpd.conf 在文件中编辑多个subnet ,每块网卡对应一个subnet. 3)重启dhcp服务,2.超级作用域 超级作用域可以将多个作用域组合为单个管理实体,进行统一管理 编辑dhcpd.conf文件,固定格式如下 Shared-network 超级作用域名称 subnet 子网号 netmask 掩码 参数 声明 ,Dhcp中继代理 可以跨越多个网段动态分配IP地址 1)配置DHCP服务器 在dhcp 服务器上配置超级作用域 2)配置DHCP中继代理 设置中继代理的多个网卡地址 启用中继代理 dhcrelay DHCP服务器IP地址,Dhcp客户端 1.Linux 客户端 编辑网卡配置文件 Vi /etc/sysconfig/network-scripts/ifcfg-eth0 将BOOTPROTO = none修改为BOOTPROTO = dhcp 2.重新启动网卡或使用dhclient Ifdown eth0 Ifup eth0 或 dhclient eth0,DNS服务器配置,1.DNS所需软件包 1)bind-9.3.3-7.e15.i386.rpm 该包为DNS服务的主程序包(第二张光盘) 2)bind-utils-9.3.3-7.e15.i386.rpm 客户端工具(第一张光盘) 2.DNS的安装 检测DNS软件包 rpm qa|grep bind,DNS复习知识 DNS (domain name system) 定义了主机名称与IP地址的对应关系 DNS采用分散形式的数据存储,将名称解析信息分别存储在不同的名称服务器上,形成一个分布式数据库。DNS采用层次逻辑结构 DNS的域分为根域,顶级域,二级域,子域。 并且域中包含主机和子域。,组织域 com net edu org gov 地理域 cn kr us jp 反向域 将IP映射到名字,3.DNS服务器搭建流程 1)建立主配置文件named.conf,该文件用来定义管理哪些区域,以及路径 2)建立区域文件(正向区域,反向区域) 3)重新加载配置文件或启动服务 主配置文件 /var/named/chroot/etc/named.conf,Named.conf主配置分为整体和局部两个部分 整体配置 options 字段 字段值; ; 可选条件选择语句,一般用来设置DNS服务器工作的目录。,局部配置 zone “区域名“ type 区域类型; file 区域文件名; ; 区域名为服务器要管理区域的名称,如 type 指定区域的类型,master主服务器,slave辅助DNS服务器,hint根域名服务器指定的线索区域 区域文件名属于相对路径,实际路径 /var/named,例:vi /var/named/chroot/etc/named.conf options directory “/var/named”; ; /定义工作目录 zone “0715.com” type master; file “0715.com.zone”; ; / 定义正向区域,zone “11.16.172.” type master; file “11.16.172.zone”; ; /定义反向区域 zone “.” type hint; file “named.ca”; ; /定义根区域,注意: 1.配置文件中的语句必须以”;”结尾 2.options条件语句必须用花括号,括起来 3.注释符号可以用/,#以及/* */,资源记录 区域文件实际上是DNS的数据库,而资源记录就是数据库中的数据。这些数据包括多种记录类型,如SOA,NS,A记录等,如果没有资源记录,那么DNS服务器将无法为客户端提供域名解析服务。 SOA资源记录为起始授权机构记录,最重要,最常用的一种资源记录。,SOA资源记录的语法格式: 区域名 记录类型 SOA 主域名服务器 管理员邮件地址 (序列号 刷新间隔 重试间隔 过期间隔 TTL) 例:0715.com. IN SOA . . ( 20081106 ;serial 21600 ;refresh 3600 ;retry 604800 ;expiry 86400;minimum ),NS记录 用于指定一个区域的权威DNS服务器,能够应答区域内所含名称的查询 NS资源记录的语法格式: 区域名 IN NS 完整主机名 例: 0715.com IN NS ,例:正向区域文件 Vi /var/named/chroot/var/named/0715.com.zone $TTL 86400 IN SOA 0715.com. root.localhost. ( 20081106 ;serial 21600 ;refresh 3600 ;retry 604800 ;expiry 86400 ;minimum ) IN NS . IN A 5 www IN A 6 /A资源记录 主机名解析IP地址,反向区域文件 Vi /var/named/chroot/var/named/11.16.172.zone $TTL 86400 IN SOA 0715.com. root.localhost. ( 20081106 ;serial 21600 ;refresh 3600 ;retry 604800 ;expiry 86400 ;minimum ) IN NS . 85 IN PTR . 86 IN PTR . /PTR 解析IP地址对应的主机名,DNS的启动与停止 Servie named start Service named stop,DNS高级配置,1.辅助DNS 在辅助DNS上修改named.conf,添加如下 Zone “域名” type slave; masters 主服务器的IP地址; file “salves/主服务器区域文件名“; ;,注意:在配置区域复制时,首先关闭RHEL5的 SERHEL5功能,否则区域数据可能无法复制 vi /etc/seRHEL5/config SERHEL5 = disable 重新启动系统使配置生效,Sendmail服务器的配置,邮件系统工作原理 1)邮件功能组件 1.MUA 客户端软件 mailx outlook foxmail 2.MTA 服务器端软件 sendmail postfix 3.MDA 服务器端代理软件 2)邮件系统 1.邮件服务器 SMTP 邮件交换服务器 POP或IMAP 邮件接收服务器 2.邮箱 3.DNS邮件交换记录 邮件服务器的位置的DNS记录,1.Sendmail需要的软件包 1)sendmail-8.13.8-2.e15.i386.rpm Sendmail的主程序包 2) sendmail-cf.8.13.8-2.e15.i386.rpm Sendmail的宏文件包 3)m4-1.4.5-3.e15.i386.rpm Sendmail宏过滤处理软件包 4)dovecot-1.0-1.2.rc15.e15.i386.rpm 该包为接收邮件软件,1.检测软件包 rpm qa|grep sendmail 2.相关配置文档 1)sendmail.cf sendmail的核心配置文件 /etc/mail/sendmai 2)access.db 用来设置哪些主机进行转发邮件 /etc/mail/access.db,3)aliases.db文件 用来定义邮箱别名。该文件位于/etc/mail/aliases.db 4)virtusertable.db 用于设置虚拟帐户。该文件位于 /etc/mail/virtusertable.db,3.Sendmail服务器架设流程 1)配置sendmail.mc文件 2)使用M4工具将sendmail.mc文件导入sendmail.cf文件 3)配置local-host-names文件 4)建立用户 5)重新启动服务,使配置生效,1)配置sendmail.cf 和sendmail.mc Sendmail.cf是sendmail的核心配置文件,内容为特定宏语言编写,使用修改sendmail.mc文件来代替sendmail.cf 编辑sendmail.mc文件,使用M4工具将结果导入sendmail.cf文件中。 Vi /etc/mail/sendmail.mc 修改 DAEMOM_OPTIONS addr=,2)M4工具的使用 rpm qa m4 M4工具在RHEL5的第二张光盘 在配置sendmail过程中,需要利用m4工具将其编辑后的sendmail.mc 文件内容重新定向到sendmail.cf文件中 m4 /etc/mail/sendmail.mc /etc/mail/sendmail.cf,3.local-host-names文件 用来定义收发邮件的主机别名。 Vi /etc/mail/local-host-names 如:0715.com 4.建立用户 Groupadd mail Useradd g mail wu Useradd g mail fei,passwd wu passwd fei 5.重启服务 Service sendmail start Service sendmail restart,6.设置邮件中继 Vi /etc/mail/access Access文件用语控制邮件中继和邮件的进出的管理。 REJECT OK RELAY 修改access文件,必须使用makemap建立新的access.db数据库。 makemap hash access.db access,Sendmail的高级配置 Sendmail的验证 通过邮件的认证机制,能够有效地拒绝非法用户使用邮件服务器中继功能。 1)安装sasl库 rpm ivh cyrus-sasl-2.1.22-4.i386.rpm rpm ivh cyrus-sasl-lib-2.1.-4.i386.rpm,2)配置sendmail.mc 编辑sendmail.mc,去掉以下3行的dnl字段, 开启sendmail认证功能。 52行 不管access如何设置,都能relay那些通过LOGIN,PLAIN,DIGEST-MD5方式的验证 53行 确定系统的认证方式 123行 开启认证,FTP服务器配置,1.FTP所需的软件包 Vsftpd-2.0.5-10.e15.i386.rpm 位于第二张光盘 2.检测软件包 rpm qa|grep vsftp 3.Vsftp相关文档 Vsftpd.conf Vsftp核心配置文件,该文件位于/etc/vsftpd,/etc/vsftpd.ftpusers 指定哪些用户不能访问FTP服务器 /etc/vsftpd.user_list 禁止或允许使用vsftpd的用户列表文件 /var/ftp 默认情况下匿名用户的根目录,FTP服务器 Vi /etc/vsftpd/vsftpd.conf 1.anonymous_enable (yes|no) 是否允许匿名用户登录 2.local_enable (yes|no) 是否允许本地用户登录 3.write_enable (yes|no) 使用者是否有写权限,4.local_umask=022 设置本地用户新建文件的权限的掩码 5.dirmessage_enable (yes|no) 设置是否开启目录提示功能 6.xferlog_std_format (yes|no) 用于设置日志的格式是否是标准格式 7.connect_from_port_20 设置接口模式传输数据时使用20端口,8.Listen (yes|no) 控制vsftpd进程操作行为的字段 是否使用stand-alone模式启动,而不是使用超级进程(xinetd) 9.pam_service_name 设置在使用PAM模块进行验证时使用的文件名 10.userlist_enable (yes|no) 是否使用控制用户登录的用户列表,11.tcp_wrappers (yes|no) 是否在vsftpd中使用远程访问控制机制 附加: 实现匿名用户访问 1.anonymous_enable (yes|no) 是否允许匿名用户登录 2.anon_mkdir_write_enable (yes|no) 是否允许匿名用户创建目录,3.anon_root (yes|no) 设置匿名用户的根目录 4.anon_upload_enable (yes|no) 是否允许匿名用户上传文件 5.anon_world_readable_only (yes|no) 是否只允许匿名用户下载可阅读文档 6.anon_max_rate 设置匿名拥护的最大数据传输速度 7.write_enable=YES,例 搭建一台FTP服务器,允许匿名用户上传和下载文件,匿名用户的根目录设置为/var/ftp Vi /etc/vsftpd/vsftpd.conf anonymous_enable=YES anon_root=/var/ftp Anon_upload_enable=YES Anon_other_write_enable=YES Anon_mkdir_write_enable=YES Write_enable=YES,实现实体用户访问 1.local_root 设置所有本地用户的根目录 2.local_umask 设置本地用户新建文件的umask数值 3.user_config_dir 设置用户配置文件所在的目录,例 搭建一台只允许本地帐户登录的FTP服务器 Vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES local_root=/home 测试使用匿名帐户登录,定制FTP目录欢迎信息 1.dirmessage_enable (yes|no) 是否开启目录提示功能 2.message_file 定义提示信息的文件名,限制用户目录 1.chroot_local_user (YES|NO) 是否将本地用户锁定在家目录中 2.chroot_list_enable (YES|NO) 是否锁定使用者在家目录中 3.chroot_list_file 设置锁定用户的列表文件。文件中一行代表一个用户,高级服务器配置 1.用户控制 /etc/pam.d/vsftpd Sense字段默认拒绝 /etc/ftpusers里的用户 /etc/ftpusers 添加系统用户,2.设置VSFTP虚拟帐号 1)创建用户文本文件 Mkdir /vuser Vi /vftp/vuser.txt 123 xiaoqiang jack,2).生成数据库 db_load T t hash f /vftp/vuser.txt /vftp/vuser.db ls /vftp 3)修改数据库文件 Chmod 700 /vftp/vuser.db 2.配置PAM文件 Vi /etc/pam.d/vsftpd,添加如下内容 auth required /lib/security/pam_userdb.so db=/vsftpd/vuser Account required /lib/security/pam_userdb.so db=/vsftpd/vuser,3.创建虚拟帐户对应系统用户 Useradd d /var/ftp/vuser vuser Mkdir /var/ftp/vuser Chown vuser.vuser /var/ftp/vuser Chmod 777 R /var/ftp/vuser 4.修改vsftpd.conf Guest_enable=YES Guest_username=vuser,Apache服务器配置,1.Apache所需的软件 httpd-2.2.3-6.e15.i386.rpm Apache主程序包(第二张光盘) httpd-devel-2.2.3-6.e15.i386.rpm Apache开发程序包 2.软件包的检测 rpm qa|grep httpd,3.Apache常规配置 httpd.conf核心配置文件,/etc/httpd.conf 整个配置文件分3个部分 1)全局环境 global environment 2)主服务配置 main server configuration 3)虚拟机配置 virtual hosts,1.设置主机名称 Servername字段定义了服务器名称和端口号 servername :80 servername 5:80 2.设置文档目录 Documentroot定义了网站的内容都保存在文档中 Documentroot “/var/www/html”,3.设置首页名称 Directoryindex 首页名称 directoryindex index.html index.php 4.网页编码设置 AddDefaultCharset GB2312,4.Apache的启动与停止 Service httpd start Service httpd stop Service httpd restart 5.使用ntsysv命令,利用文本图形界面对apache自动加载进行配置,Apache高级服务器配置 1.配置Apache虚拟主机 虚拟主机,利用一台主机的资源,建立多个虚拟的Web主机,充分挖掘服务器的潜力. 1)基于IP的虚拟机. 通过IP地址识别虚拟主机,这必须要为服务器网卡绑定多个IP地址. Ifconfig eth0:0 IP地址 netmask 子网掩码 Ifconfig eth0:1 IP地址 netmask 子网掩码,修改配置文件httpd.conf Documentroot /var/www/html Servername IP或 域名 Documentroot /var/www/html Servername IP或 域名 ,2)基于域名的虚拟主机 修改httpd.conf 添加如下 Namevirtualhost *:80 在DNS中,建立多个域名对应服务器的IP地址 2. Apache访问控制 Apache server限制某个目录或文档的权限.默认情况下的安全配置是拒绝一切访问, Options FollowSymLinks 表示可以使用符号连接 AllowOverride None 禁止使用.Htaccess ,Order allow,deny 表示默认情况下禁止所有客户端访问,且allow字段在deny字段之前被匹配 例 order allow,deny Allow from all 允许所有的客户端访问 order allow,deny Allow from Deny from 仅允许网段访问,但其中不能访问,Order deny,allow 表示默认情况下允许所有客户端访问,且deny字段在allow语句之前被匹配 例 order deny,allow deny from deny from .0715.com 拒绝IP地址为和来自.0715.com域的客户访问.,Mysql数据库,一,Mysql基本操作 1.软件包的检测 rpm qa|grep mysql 2.启动mysql Service mysqld start Service mysqld stop Service mysqld restart 3.进入mysql mysql,4.创建数据库 create database 数据库名称; create database sunny; 5.显示数据库 show databases; 6.创建表 use 数据库名; create table 表名 (字段名 字段类型(长度), 字段名 字段类型(长度) ) 7.添加记录 Insert into 表名 (字段1,字段2,.字段n) values (字段1的值,字段2的值,字段n的值);,8.更新记录 Update 表名 set 字段名 = 字段值 where 字段名 = 字段值; 9.数据库查询 显示数据库列表 show databases; 选定数据库 use 数据库名; 显示当前数据库 select database (); 显示当前数据库列表 show tables; 显示指定表的内容 select * from 表名;,10.删除操作 Delete from 表名 where 条件; 11.删除表 drop table 表名; 12.删除数据库 drop database 数据库名; 13.退出mysql quit exit,二,mysql用户配置 1.查看当前用户 Select user(); 2.创建用户 Insert into mysql.user (host,user,password) values (%,guest,password(guest); Flush privileges; 重载授权表,3.更改用户密码 Update mysql.user set password = password(新密码) where user = 用户; 4.Flush privileges;重载授权表 5.删除用户 Delete from mysql.user where user =用户名;,6.用户授权 Grant all privileges on 数据库名.表名 to 用户名主机名 identified by 密码; 例 创建kkk使其对sunny数据库具有完全的控制权限 Grant all privileges on sunny.* to kkk% identified by 123456;,7.撤消用户授权 Revoke all on 数据库名.表名 from 用户名主机名; Revoke all on sunny.* from kkk% *只是消除用户的权限,而不是将其删除,三,mysql的备份与恢复 1.Mysqldump 数据库名称 /路径/备份文件名 例 Mysqldump sunny /guang/sunny.20081207.mysql 2.将文本数据导入到数据库中 Load data local infile ”文件名” into table 表名;,iptables,1.Iptables简介 Netfilter/iptables IP过滤数据包系统由netfilter和iptables两个组件构成.netfilter集成在内核中的一部分,作用是定义,保存相应的规则.而iptables是一种工具,用以修改信息的过滤规则及其它配置. 2.Netfilter是LINUX核心中的一个通用架构,它提供了一系列的”表”,每个表由”链”组成. 每条链可以由一条或数条”规则”组成.,名词解释 1.规则:设置过滤数据包的具体条件,如IP,端口,协议及网络接口等信息. Address port protocol interface 动作:当数据经过LINUX时,若netfilter检测该包符合相应规则,则会对该数据包进行响应的处理 2.ACCEPT DROP REJECT LOG,3.链 数据包传递过程中,不同的情况下所要遵循的规则组合成链. 分为内置链和用户自定义链,netfilter常用内置链 PREROUTING 数据包进入本机,进路由表之前 INPUT 通过路由表后,目的地为本机 OUTPUT 由本机产生,向外转发 FORWARD 通过路由表后,目的地不为本机 POSTROUTING 通过路由表后,发送至网卡前,4.表 接受数据包时,netfilter会提供以下3种数据包处理的功能. 过滤 filter 地址转换 nat 变更 mangle Netfilter根据数据包的处理需要,将链进行组合,设计了3个表:filter,nat,mangle,一.Iptables的安装 rpm qa|grep iptables 二.Iptables的启动与停止 Service iptables start Service iptables stop Service iptables restart,三.防火墙的配置 Iptables的语法 Iptables t 表的类型 命令 匹配 操作 Iptables t filter A INPUT P icmp j DROP 1.表的类型 filter nat mangle 2.命令 插入规则 删除规则 添加规则 -P 定义默认规则 iptables t filter P INPUT DROP -L 查看iptables规则表,-A 在规则列表最后添加1条规则 Iptables A OUTPUT -sport 22 DROP -I 在指定位置插入1条规则 Iptables I INPUT 2 -dport 80 j ACCEPT -D 从规则列表中删除1条规则 Iptables t filter D OUTPUT p udp j DROP,-R 替换规则列表中的某条规则 -F 删除表中的所有规则 Iptables F OUTPUT -Z 将表中数据包计数器和流量计数器归零,3.匹配选项 -i 指定数据包从哪个接口进入 如 eth0 Iptables A INPUT i eth0 j ACCEPT *这个匹配操作只能用于INPUT,FORWARD,PREROUTING链中. 在接口前加!表示取反 Iptables A INPUT i ! eth0 j ACCEPT 匹配除eth0外的所有数据包,-o指定数据包从那个接口输出 如 eth1 Iptables A FORWARD i eth0 o eth1 j ACCEPT *这个匹配操作只能用于OUTPUT,FORWARD,PREROUTING链中. -p指定数据包匹配的协议 如 tcp udp icmp Iptables A INPUT p udp j DROP,-s指定数据包匹配的源地址 Iptables A INPUT s 0 j DROP -d指定数据包匹配的目的地址 Iptables I OUTPUT d j ACCEPT -sport 源端口号(指定的数据包是不是源端口) Iptables A INPUT -sport 80 j ACCEPT,-dport目标端口号 Iptables A INPUT -dport 80 j ACCEPT 4.动作选项 ACCEPT 接收数据包 DROP 丢弃数据包 SNAT 源地址转换 DNAT 目标地址转换 REJECT 丢弃数据包 向发送者返回错误信息,5.保存与恢复规则 Iptables-save用来保存规则 Iptables-save /etc/iptables-save Service iptables save 使用重定向来保存这些规则 Iptables-restore Iptables-restore /etc/iptables-save,练习: 1.为filter表的INPUT链添加一条规则,规则为允许访问TCP协议的80端口的数据包通过 2.在filter表中INPUT链的第2条规则前插入一条新规则,规则为不允许访问TCP协议的53端口的数据包通过 3.在filter表中INPUT链的第1条规则前插入一条新的规则,规则为允许源IP 网段的数据报通过,4.替换filter表的INPUT链中的规则为禁止这个子网里所有的主机访问tcp协议的80端口. 5.删除filter表的INPUT链中的第2条规则 6.删除filter表INPUT链中的所有规则,常用实例及技巧分析 .禁止访问不健康的网站 1)Iptables A FORWARD d j DROP 2)Iptables A FORWARD d j DORP 2.禁止用户使用QQ软件,Iptables I FORWARD p tcp -dport 8000 j DROP Iptables I FORWARD p udp -dport 8000 j DROP Iptables I FORWARD d j DROP Iptables I FORWARD d j DROP,NAT(网络地址转换),1.Nat支持3种操作 1).SNAT:改变数据包的源地址. 2).DNAT:改变数据包的目的地址 3).MASQUERADE:作用与SNAT一样,改变数据包的源地址. SANT与MASQUERADE的区别是MASQUERADE自动查找可用的IP地址,而SNAT用配置好的IP地址,2.配置SNAT SNAT只能用在nat表的POSTROUTING链, 配置参数为-to-source Iptables t nat A POSTROUTING o 外网接口 j SNAT -to-source IP地址 例:iptables t nat A POSTROUTING o eth1 j SNAT -to-source ,例:公司内部主机使用/8网段的IP地址,并且使用linux主机作为服务器连接互联网,外网地址为固定地址9,现需要修改相关设置保证内网用户能够正常访问internet 1.开启内核路由转发功能 echo 1 /proc/sys/net/ipv4/ip_forward 2.添加SANT规则 iptables t nat A POSTROUTING o eth1 j SNAT -to-source 3.保存 service iptables save,3.配置DNAT DNAT需要在nat表的PREROUTING链设置,配置参数为-to-destination iptables t nat A PREROUTING i 内网接口 p 协议 -dport 端口 j SNAT -to-destination IP地址 例:iptables t nat
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 关于季度销售业绩未达标的联系函3篇范本
- 婚礼策划预算内执行方案
- 复函关于员工绩效考核标准的修订建议6篇范本
- 通知召开客户满意度调查会议通知函7篇
- 游戏策划与制作人游戏开发进度KPI考核表
- 库存商品退货通知函(6篇范文)
- 旅游度假村秋季特价活动邀请函6篇范文
- 2026黑龙江绥化望奎县巡察办所属事业单位招聘工作人员5人笔试题库附完整答案详解(全优)
- 2026广东汕头市文化广电旅游体育局下属汕头市体育运动学校招聘3人笔试题库附答案详解(A卷)
- 2026福建泉州工艺美术职业学院招聘非编聘用人员43人(三)模拟试卷及参考答案详解(轻巧夺冠)
- 小红书运动户外行业场景趋势与用户决策
- 2026年测量员考试题及答案
- 夜间道路沥青路面摊铺施工方案
- 养老机构风险管理与应对机制
- 2025年江苏省基层法律服务工作者执业核准考试试题(含答案)
- GB/T 47335.1-2026中医药诊断词汇第1部分:舌象
- 2026年马工程民法学配套练习题库包(典型题)附答案详解
- 县区国防教育工作制度
- 招行工作制度
- 冷库全员安全生产责任制度
- 诊所院内感染管理制度
评论
0/150
提交评论