Linux服务器的搭建和测试.doc

苏 州 市 职 业 大 学实习（实训）报告 名称 linux网络管理 2011年6月21日至 2011年7月1日共2周院 系 班 级 姓 名 系主任 教研室主任 指导教师 一、实习（实训）目的和要求l 了解并熟悉Linux环境l 熟悉并掌握Linux中的网络配置和连接l 了解各种网络服务器的工作原理和基本配置方法，并能够熟练地在Linux构架各种网络服务器。二、实习（实训）内容1. Linux服务器的搭建与测试2. 添加磁盘，用户管理，磁盘配额3. Samba服务全攻略4. DHCP服务全功略5. DNS服务全功略6. Sendmail服务全功略 7. FTP服务全功略 8. Web服务全功略 9. iptables全功略 10. 代理服务全功略 11. NFS全功略 12. NIS全功略13. 网络访问全功略三、实习（实训）方式 集中 分散 校内 校外四、实习（实训）具体安排1. Linux服务器的搭建与测试 （必作） 4课时2. 添加磁盘，用户管理，磁盘配额(2) 4课时3. Samba服务全攻略（1） 4课时4. DHCP服务全功略（2） 4课时5. DNS服务全功略（3） 4课时6. Sendmail服务全功略（2） 4课时7. FTP服务全功略（1） 4课时8. Web服务全功略（3） 4课时9. iptables全功略（3 ） 4课时10. 代理服务全功略（2） 4课时11. NFS全功略（1） 4课时12. NIS全功略（1） 4课时13. 网络访问全功略（3） 4课时五、实习（实训）报告内容（有指导书的可省略）1、内容参看/27212/1126252、3人一组，每人按步骤完成报告结构：标题：1、Linux服务器的搭建与测试 基础知识：写入必要的基础参数说明：安装过程小实验：【1-1】【1-2】项目实验：3、按步骤完成ppt，项目实验的每个步骤截图，并添加简要说明4、截图要保存在文件夹中5、报告打印，全班(报告，ppt，截图)刻盘 目录 1.Linux服务器的搭建与测试 （第一个任务）11.1 Red Hat Enterprise Linux 6的安装11.2 常规网络配置41.2.1 配置主机名41.2.2 使用ifconfig配置IP地址及辅助IP地址51.2.3 禁用和启用网卡71.2.4 更改网卡MAC地址81.2.5 route命令设置网关91.2.6 网卡配置文件91.2.7 setup命令101.2.8 修改resolv.conf设置DNS111.3 网络环境测试111.3.1 netstat命令111.3.2 nslookup测试域名解析122.Samba服务全攻略(第三个任务)132.1安装Samba服务132.2 samba配置简介132.2.1 Samba普通设置132.2.2 Samba服务日志文件172.2.3 Samba服务密码文件182.2.4 Samba的启动与停止192.3 share服务器实例及详解202.4 Samba企业实战与应用222.4.1 企业环境及需求222.4.2 需求分析222.4.3 解决方案223.NFS全功略(第11个任务)273.1需求：273.2解决方案：273.3测试303.3.1 NFS服务器本机测试303.3.2 Linux客户端测试314.FTP全功略（第七个任务）334.1 FTP常规配置应用案例1：334.1.1需求：334.1.2分析：334.1.3解决方案：334.1.4测试364.2 FTP常规配置应用案例2：364.2.1需求：364.2.2分析：364.2.3解决方案：374.2.4测试395.NIS全攻略（第十二个任务）405.1企业需求405.2需求分析405.3解决方案405.4 客户端检测476.参考文献：491.Linux服务器的搭建与测试 （第一个任务）1.1 Red Hat Enterprise Linux 6的安装 设置好虚拟机开机进入安装界面，选择Ship跳过硬盘检测如图1-1和1-2 图1-1RHEL6安装界面 图1-2选Skip选择语言版本，并且选择需要的安装设备类型，如图1-3和1-4 图1-3选择简体中文版本 图1-4选择安装的设备类型设置主机名为后配置IP地址，IP地址为172.18.44.机号+200如下图 图1-5设置主机名 图1-6配置IP地址 设置根用户密码为123456如下图1-7，并且选择安装布局如图1-8 图1-7设置根用户密码 图1-8自定义布局安装下面选择目标的存储设备，然后开始选择分区的类型，如图1-9和1-10 图1-9选择目标存储设备 图1-10选择分区类型设置每个分区的大小和类型，之后格式化分区，如图1-11和图1-12 图1-11设置分区 图1-12格式化分区选择安装程序，把需要的附件加进安装程序中，之后点击下一步开始安装如图1-13和图1-14 图1-13选择需要的安装程序 图1-14安装完成界面安装完成后进入用户桌面，如图1-15和图1-16 图1-15完成更新设置 图1-16用户桌面1.2 常规网络配置 1.2.1 配置主机名 修改/etc/hosts文件中主机名rhel5为samba如图1-17图1-17修改主机名通过编辑/etc/sysconfig/network文件中的HOSTNAME字段修改主机名。如图1-18图1-18编辑主机名设置完主机名生效后，可以使用hostname查看当前主机名称。如图1-19图1-19 查看主机名1.最常用的是使用hostname来设置。如图1-20格式：hostname 主机名图1-20用hostname修改主机名2.使用sysctl命令修改内核参数 ，如图1-21格式：sysctl kernel.hostname=主机名图1-21修改内核参数1.2.2 使用ifconfig配置IP地址及辅助IP地址大多数linux发行版都会内置一些命令来配置网络，而ifconfig是最常用的命令之一。它通常用来设置IP地址和子网掩码以及查看网卡相关配置。格式：ifconfig 网卡名 ip地址 netmask 子网掩码使用ifconfig命令来设置IP地址，修改IP地址为38如图1-22图1-22设置IP地址，修改IP地址使用ifconfig命令可以查看网卡配置信息，如IP地址、MAC地址，收发数据包情况等。如图1-23图1-23查看网卡配置信息配置虚拟网卡IP地址，如图1-24在实际工作中，可以会出现一块网卡需要拥有多个IP地址的情况，可以通过设置虚拟网卡来实现。命令格式： ifconfig 网卡名：虚拟网卡ID IP地址 netmask 子网掩码图1-24配置虚拟网卡IP地址测试下eth1:2虚拟网卡连通性，如图1-25图1-25 测试1.2.3 禁用和启用网卡 对于网卡的禁用和启用，依然可以使用ifconfig命令。如图1-26命令格式： ifconfig 网卡名称 down ifconfig 网卡名称 up使用ifconfig eth1 down命令后，在linux主机还可以ping通eth1的IP地址。图1-26对于网卡的禁用和启用在其他主机上就ping不通eth1地址了。如图1-27图1-27 测试ifconfig eth0 up 启用eth1网卡 如图1-28 图1-28都能ping通使用ifdown eth0和ifup命令也可以实现禁用和启用网卡的效果。如图1-29命令格式： ifdown 网卡名称；ifup 网卡名称使用ifdown eth1禁用eth1网卡，发现在linux主机也不能ping通eth1的IP地址了。 图1-29无法ping通使用ifup eth1启用eth1网卡。如图1-30 图1-30 ping通了1.2.4 更改网卡MAC地址 更改网卡MAC地址时，需要先禁用该网卡，然后使用ifconfig命令进行修改。如1-31命令格式： ifconfig 网卡名 hw ether MAC地址修改eth1网卡的MAC 地址为00:11:22:33:44:55。图1-31 可以看到MAC地址已经被修改成00:11:22:33:44:55了如果不先禁用网卡会发现提示错误，修改不生效。如图1-32图1-32发现提示错误1.2.5 route命令设置网关 route命令格式： route add default gw ip地址 #添加默认网关 route del default gw ip地址 #删除默认网关把Linux主机的默认网关设置为哈，设置好后可以使用route命令查看网关及路由情况。如图1-33图1-33route命令格设置网关并测试1.2.6 网卡配置文件ifconfig设置IP地址和修改网卡的MAC地址以及后面的route设置路由和网关时，配置都是临时生效的。也就是说，在重启系统后，配置都会失效。这里我们就要直接编辑网卡的配置文件，通过参数来配置网卡，让设置永久生效。网卡配置文件位于/etc/sysconfig/network-scripts/目录下。如图1-34图1-34 测试每块网卡都有一个单独的配置文件，可以通过文件名来找到每块网卡对应的配置文件。例如：ifcfg-eth0就是eth1块网卡的配置文件。来编辑/etc/sysconfig/network-scripts/ifcfg-eth1文件来进行配置看看效果。如图1-35图1-35进行配置网卡1.2.7 setup命令RHEL5支持者文本窗口的方式对网络进行配置，CLI命令行模式下使用setup命令就可以进入文本窗口。移动光标选择网络配置选项，按回车确认进入对网络设置的界面。图1-36 图1-36进行网络配置 现在Linux主机有一块网卡eth1哈，选择它后可以按回车进行配置。如图1-37图1-37配置菜单1.2.8 修改resolv.conf设置DNSLinux中设置DNS客户端时可以直接编辑/etc/resolv.conf,然后使用namserver参数来指定DNS服务器的IP地址。如图1-38图1-38指定DNS服务器的IP地址1.3 网络环境测试 1.3.1 netstat命令 netstat命令格式： netstat 可选项 (1)查看端口信息使用netstat命令以数字方式查看所有TCP协议连接情况：如图1-39netstat -atn图1-39查看所有TCP协议连接情况(2)查看路由表netstat使用-r参数，可以显示当前主机的路由表信息。如图1-40图1-40显示当前主机的路由表信息(3)查看网络接口状态灵活运用netstat命令，还可以监控主机网络接口的统计信息，显示数据包发送和接收情况。如图1-41图1-41监控主机网络接口1.3.2 nslookup测试域名解析查询主机和域名信息。在命令行下直接输入nslookup命令，查询域名信息。命令格式： nslookup 域名或IP地址，如图1-42图1-42 查下百度2.Samba服务全攻略(第三个任务)2.1安装Samba服务在安装Samba服务之前，使用rpm -qa命令检测系统是否安装了Samba相关性软件包：如图2-1rpm -qa |grep samba图2-1查看否安装了Samba相关性软件包如果系统还没有安装Samba软件包，我们可以使用rpm命令安装所需软件包。图2-2安装软件包所有软件包安装完毕之后，我们可以使用rpm命令进行查询：如图2-1-3图2-3查询2.2 samba配置简介2.2.1 Samba普通设置smb.conf文件的开头部分为samba配置简介，告诉我们smb.conf文件的作用及相关信息。如图2-4图2-4 smb.conf文件的作用及相关信息Global Settings设置为全局变量区域。全局变量就是说我们只要在global时进行设置，那么该设置项目就是针对所有共享资源生效的。该部分以global开始:如图2-5图2-5以global开始smb.conf配置通用格式，对相应功能进行设置：字段=设定值 下面说下global常用字段及设置方法：1.设置工作组或域名称工作组是网络中地位平等的一组计算机，可以通过设置workgroup字段来对samba服务器所在工作组或域名进行设置。设置samba服务器的工作组为RHEL6 如图2-6图2-6 设置工作组2.服务器描述服务器描述实际上类似于备注信息，在一个工作组中，可能存在多台服务器，为了方便用户浏览，可以在server string配置相应描述信息，这样用户就可以通过描述信息知道自己要登录哪台服务器了。3.设置samba服务器安全模式samba服务器有share、user、server、domain和ads 五种安全模式，用来适应不同的企业服务器需求。如图2-7图2-7查看3.Share Definitions共享服务的定义，如图2-8图2-8共享服务的定义(1).设置共享名共享资源发布后，必须为每个共享目录或打印机设置不同的共享名，给网络用户访问时使用，并且共享名可以与原目录名不同。共享名设置非常简单：共享名我们来看个例子，Samba服务器中有个目录为/share，需要发布该目录成为共享目录，定义共享名为public，如图2-9图2-9 测试(2).共享资源描述网络中存在各种共享资源，为了方便用户识别，可以为其添加备注信息，以方便用户查看时知道共享资源的内容是什么。格式：comment = 备注信息举个例子,samba服务器上有个/sales目录存放公司销售部的数据，为了对公司部门员工进行区分，可以添加备注信息。如图2-10图2-10添加备注信息(3).共享路径共享资源的原始完整路径，可以使用path字段进行发布，务必正确指定。格式：path = 绝对地址路径samba服务器上/share/tools目录存放常用工具软件，需要发布该目录为共享，我们可以这样做。如图2-11图2-11发布该目录为共享(4).设置匿名访问共享资源如果对匿名访问进行设置，可以更改public字段。如格式：public = yes #允许匿名访问 public = no #禁止匿名访问samba服务器/share共享目录允许匿名用户访问，可以这样设置。图2-12设置匿名访问(5).设置访问用户如果共享资源存在重要数据的话，需要对访问用户审核，我们可以使用valid users字段进行设置，如图2-13格式：valid users = 用户名;valid users = 组名我们来看下面一个例子，samba服务器/share/tech目录存放了公司技术部数据，只允许技术部员工和经理访问，技术部组为tech,经理帐号为gm图2-13设置访问用户(6）设置目录只读共享目录如果限制用户的读写操作，我们可以通过readonly实现，如图2-14格式：readonly = yes #只读 readonly = no #读写samba服务器公共目录/public存放大量共享数据，为保证目录安全我们只允许读取，禁止写入。图2-14设置目录只读（7）设置目录可写如果共享目录允许用户写操作，可以使用writable或write list两个字段进行设置，如2-15writable格式：writable = yes #读写 ；writable = no #只读write list格式：write list = 用户名；write list = 组名图2-15设置目录可写2.2.2 Samba服务日志文件日志文件对于samba非常滴重要，它存储着客户端访问samba服务器的信息，以及samba服务的错误提示信息等，可以通过分析日志，帮助解决客户端访问和服务器维护等问题。在/etc/samba/smb.conf文件中，log file为设置samba日志的字段。如图2-16图2-16设置samba日志samba服务的日志文件默认存放在/var/log/samba/中，其中samba会为每个连接到samba服务器的计算机分别建立日志文件。我们启动smb服务：/etc/rc.d/init.d/smb start，使用ls -a命令可以查看日志的所有文件。如图2-17图2-17查看日志当samba服务器刚刚建立好后，只有两个文件，分别是nmbd.log和smbd.log，它们分别记录nmbd和smbd进程的运行日志。nmbd.log记录nmbd进程的解析信息。smbd.log记录用户访问samba服务器的问题，以及服务器本身的错误信息，可以通过该文件获得大部分的samba维护信息。当客户端通过网络访问samba服务器后，会自动添加客户端的相关日志。Linux管理员可以根据这些文件来查看用户的访问情况和服务器的运行情况。另外当samba服务器工作异常时，也可以通过/var/log/samba/下的日志进行分析。2.2.3 Samba服务密码文件samba服务器发布共享资源后，客户端访问samba服务器，需要提交用户名和密码进行身份验证，验证合格后才可以登录。samba服务为了实现客户身份验证功能，将用户名和密码信息存放在/etc/samba/smbpasswd中，在客户端访问时，将用户提交资料与smbpasswd存放的信息进行比对，如果相同，并且samba服务器其他安全设置允许，客户端与samba服务器连接才能建立成功。samba帐号并不能直接建立，需要先建立Linux同名的系统帐号。比如如果我们要建立一个名为michael的samba帐号，那Linux系统中必须提前存在一个同名的michael系统帐号。samba中添加帐号命令为smbpasswd，命令格式: smbpasswd -a 用户名来测试下，在samba服务器中添加samba帐号test1,我们建立samba帐号之前必须先添加相对应的系统帐号，使用useradd命令建立帐号test1，然后执行passwd命令为帐号test1设置密码,最后我们添加test1用户的samba帐号，执行smbpasswd添加帐号test1到samba配置文件中。如图2-18图2-18添加账号如果我们在添加samba帐号时输入完两次密码出错：如图2-19图2-19 测试这是因为Linux本地用户里没有amy这个用户，系统里面添加一下就好了，如图2-20图2-20添加amy用户所以，务必要注意在建立samba帐号之前，一定要先建立一个与samba帐号同名的系统帐号。2.2.4 Samba的启动与停止1）samba服务的启动service smb start或 /etc/rc.d/init.d/smb start如图2-21图2-21 samba服务的启动2）samba服务的停止service smb stop或 /etc/rc.d/init.d/smb stop如图2-22图2-22 samba服务的停止3）samba服务的重启service smb restart或 /etc/rc.d/init.d/smb restart如图2-23 samba图2-23 samba服务的重启4）samba服务配置重新加载service smb reload或 /etc/rc.d/init.d/smb reload如图2-24图24 samba服务配置重新加载5）自动加载samba服务我们可以使用ntsysv命令利用文本图形界面对smb自动加载进行配置，如果要自动加载smb可以在其前面选中“*”，否则取消掉就不自动加载了。如图 2-25图 2-25自动加载samba服务2.3 share服务器实例及详解实例：如果公司现在用一个工作组Workgroup需要添加samba服务器作为文件服务器哈，并发布共享目录/share，共享名为public,这个共享目录允许所有公司员工访问。分析：这个案例属于samba的基本配置，我们可以实用share安全级别模式，既然允许所有员工访问，则需要为每个用户建立一个samba帐号，那么如果公司拥有大量用户呢？1000个用户，100000个用户，一个个设置会非常滴麻烦哈，我们可以通过配置security = share来让所有用户登录时采用匿名帐户nobody访问，这样实现起来非常简单1） 修改samba主配置文件smb.conf(1).设置samba服务器工作组名为Workgroup(2).添加samba服务器注释信息为File Server(3).设置samba安全级别为share模式，允许用户匿名访问(4).设置共享目录的共享名为public(5).设置共享目录的绝对路径为/share(6).最后我们设置允许匿名访问如图2-26图2-26 设置完smb.conf后保存退出2）重新加载配置上面我们说过，Linux为了使新配置生效，需要重新加载配置，可以使用restart重新启动服务或者使用reload重新加载配置。如图2-27图2-27重新加载配置测试下，在/share目录下建个文件试下：touch /share/test_sharemode_samba.tar图2-28测试图2-29效果2.4 Samba企业实战与应用2.4.1 企业环境及需求samba服务器目录：企业数据目录：/companydata公共目录：/companydata/share销售部目录：/companydata/sales技术部：/companydata/tech企业员工情况：总经理：gm 销售部：销售部经理 redking、员工 sky、员工 jane 技术部：技术部经理 michael、员工 bill、员工 joy搭建samba文件服务器，建立公共共享目录，允许所有人访问，权限为只读，为销售部和技术部分别建立单独的目录，只可以总经理和相应部门员工访问，并且公司员工禁止访问非本部门的共享目录。这是个典型的企业文件服务器案例。2.4.2 需求分析对于建立公共目录public字段就可以实现匿名访问，员工只能访问本部门的共享目录，禁止访问非本部门的共享目录，我们可以通过设置目录共享字段“browseable = no”及字段“valid users”来实现其隐藏功能和相应的访问权限。这样设置不能很好得解决同一目录多种需求的权限设置，所以我们需要建立独立配置文件，为每个部门建立一个组后并为每个组建立配置文件来实现隔离用户权限会比较灵活2.4.3 解决方案1）建立各部门专用共享目录使用mkdir建立需求的共享目录以便分门别类的存储相应资料。如图2-30图2-30建立各部门专用共享目录同时设置/companydata共享目录的用户权限如图2-31图2-31设置共享目录的用户权限2）添加samba服务器描述及设置smbpasswd文件，如图2-32 图2-32添加服务器并设置默认/etc/samba/目录下没有smbpasswd文件,我们要先关闭samba的tdbsam验证。解决方法：在smb.conf文件中注释掉passdb backend = tdbsam 一行，为了指定samba用户的验证我们加上这一条smb passwd file = /etc/samba/smbpasswd，然后保存退出。图2-33 添加passdb backend = tdbsam一行3)添加用户和组先建立销售部组sales，技术部组tech，然后使用useradd命令添加总经理帐号gm及各个员工的帐号并加入相应的用户组。如图2-34图2-34添加用户和组接着使用smbpasswd命令添加samba用户，如图2-35图2-35添加samba用户4）配置smb.conf文件（1）建立单独配置文件用户配置文件使用用户名命令哈，组配置文件使用组名命令。如图2-36图2-36建立单独配置文件（2）设置主配置文件smb.conf配置smb.conf主配置文件，在global中添加相应字段，确保samba服务器的主配置文件可以调用独立的用户配置文件和组配置文件。include = /etc/samba/%U.smb.conf表示使samba服务器加载/etc/samba目录下格式为“用户名.smb.conf”的配置文件。include = /etc/samba/%G.smb.conf表示使samba服务器加载/etc/samba目录下格式为“组名.smb.conf”的配置文件。如图2-37图2-37设置主配置文件设置共享目录/companydata/share，如图2-38图2-38设置共享目录（5）设置总经理gm配置文件如图2-39vim /etc/samba/gm.smb.conf图2-39设置总经理配置文件（6）设置销售部组sales配置文件，如图2-40vim /etc/samba/sales.smb.conf图2-40设置销售部组配置文件（7）设置技术部组tech配置文件，如图2-41vim /etc/samba/tech.smb.conf图2-41设置配置文件（8）开启samba服务，如图2-42service smb start图2-42开启samba服务（9）测试我们先用gm帐号登录测试，如图2-43 图2-43用gm帐号登录测试，可以全部看到共享目录3.NFS全功略(第11个任务)3.1需求：1、/media目录共享/media目录,允许所有客户端访问该目录并只有只读权限。2、/nfs/public目录共享/nfs/public目录，允许/24和/24网段的客户端访问，并且对此目录只有只读权限。3、/nfs/team1、/nfs/team2、/nfs/team3目录共享/nfs/team1、/nfs/team2、/nfs/team3目录,并/nfs/team1只有域成员可以访问并有读写权限，/nfs/team2、/nfs/team34、/nfs/works目录共享/nfs/works目录，/24网段的客户端具有只读权限，并且将root用户映射成匿名用户。5、/nfs/test目录共享/nfs/test目录，所有人都具有读写权限，但当用户使用该共享目录时都将帐号映射成匿名用户，并且指定匿名用户的UID和GID都为65534。6、/nfs/security目录共享/nfs/security目录，仅允许8客户端访问并具有读写权限。3.2解决方案：1、 创建相应目录，如图3-1图3-1创建相应目录2、安装nfs-utils及portmap软件包 ，查看是否安装，没有就用rpm或yum安装一下。如图3-2图3-2查看是否安装软件包nfs-utils-1.0.9-24.el5：nfs服务的主程序包,它提供rpc.nfsd及rpc.mountd这两个daemons以及相关的说明文件。portmap-4.0-：rpc主程序，记录服务的端口映射信息。3、编辑/etc/exports配置文件，如图3-3/etc/exports：nfs服务的主配置文件 vim /etc/exports 图3-33配置前（左）配置后（右）在发布共享目录的格式中除了共享目录是必跟参数外，其他参数都是可选的。并且共享目录与客户端之间及客户端与客户端之间需要使用空格符号，但是客户端与参数之间是不能有空格的。4、配置nfs固定端口vim /etc/sysconfig/nfs自定义以下端口，然而不能和其他端口冲突，如图3-4RQUOTAD_PORT=5001 LOCKD_TCPPORT=5002 LOCKD_UDPPORT=5002MOUNTD_PORT=5003 STATD_PORT=5004图3-4配置nfs固定端口5、配置iptables策略，如图3-5图3-5，配置文件6、启动portmap和nfs服务由于NFS服务是基于portmap服务的，所以我们需要先启动portmap服务：service portmap restart ，然后 service nfs restart如图3-6图3-6启动portmap和nfs服务3.3测试3.3.1 NFS服务器本机测试1）使用rpcinfo命令检测nfs是否使用了固定端口，如图3-7图3-7 测试是否使用了固定端口2）检测nfs的rpc注册状态rpcinfo -u 主机名或IP地址 进程，如图3-8图3-8检测nfs的rpc注册状态3）查看共享目录和参数设置cat /var/lib/nfs/etab,如图3-9图3-9查看共享目录和参数设置4）使用showmount命令查看共享目录发布及使用情况，如图3-10showmount -e或showmount -e IP地址，如图图3-3-1-4图3-10查看共享目录3.3.2 Linux客户端测试图3-11 Linux客户端测试1）查看nfs服务器共享目录，如图3-12showmount -e 88图3-12查看共享目录2）挂载及卸载NFS文件系统，如图3-13mount -t nfs NFS服务器IP地址或主机名：共享名 本地挂载点图3-13挂载及卸载NFS文件系统3）启动自动挂载nfs文件系统，如图3-14我们在nfs服务器/nfs/test目录中新建个文件测试一下图3-14测试linux客户端系统启动了，如图3-15图3-15 测试我们来看下/nfs/test有没挂载成功了，如图3-16图3-16 测试4.FTP全功略（第七个任务）1.vsftpd服务软件包vsftpd-2.0.5-10.el5.i386.rpm：vsftpd主程序包2.vsftpd相关文档/etc/vsftpd/vsftpd.conf：vsftpd的核心配置文件/etc/vsftpd/ftpusers：用于指定哪些用户不能访问FTP服务器/etc/vsftpd/user_list：指定允许使用vsftpd的用户列表文件/etc/vsftpd/vsftpd_conf_migrate.sh：是vsftpd操作的一些变量和设置脚本/var/ftp/：默认情况下匿名用户的根目录，如图4-1图4-1 测试4.1 FTP常规配置应用案例1：4.1.1需求：公司技术部准备搭建一台功能简单的FTP服务器，允许所有员工上传和下载文件，并允许创建用户自己的目录。4.1.2分析：允许所有员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用户上传功能开启，最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。4.1.3解决方案：（1）配置vsftpd.conf主配置文件允许匿名用户访问，如图4-2anonymous_enable=YES图4-2配置主配置文件允许匿名用户上传文件并可以创建目录，如图4-3anon_upload_enable=YES anon_mkdir_write_enable=YES图4-3上传文件并创建目录（2）上传目录ftp用户的写入权限，如图4-4图4-4写入权限下面先修改目录权限,创建一个公司上传用的目录，叫companydata,分配ftp用户所有，目录权限是755 如图4-5图4-5修改目录权限（3）修改selinux（selinux支持上传）这个也是很多教程没有的一步 使用getsebool -a | grep ftp 命令可以找到ftp的bool值，然后我们来改 getsebool -a 是显示所有的selinux的布尔值,通过管道，查找与ftp相关的，如图4-6图4-6查找与ftp使用setsebool -P allow_ftpd_anon_write .命令设置布尔值 ，如图4-7图4-7设置布尔值准备修改上下文 ，如图4-8图4-8修改上下文然后reboot重新启动服务器 （4）运行级别3开启vsftpd服务，如图4-9图4-9开启vsftpd服务4.1.4测试匿名登录FTP 如图4-10图4-10 测试现在匿名上传的文件是禁止删除 ，如图4-11图4-11测试这样匿名用户的上传就算成功了4.2 FTP常规配置应用案例2：4.2.1需求：公司内部现在有一台FTP和WEB服务器，FTP的功能主要用于维护公司的网站内容，包括上传文件、创建目录、更新网页等等哈公司现有两个部门负责维护任务，他们分别适用team1和team2帐号进行管理。先要求仅允许team1和team2帐号登录FTP服务器，但不能登录本地系统，并将这两个帐号的根目录限制为/var/www/html，不能进入该目录以外的任何目录。4.2.2分析：将FTP和WEB服务器做在一起是企业经常采用的方法，这样方便实现对网站的维护，为了增强安全性，首先需要使用仅允许本地用户访问，并禁止匿名用户登录。其次使用chroot功能将team1和team2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限4.2.3解决方案：（1）建立维护网站内容的ftp帐号team1和team2并禁止本地登录，然后设置其密码，如图4-12useradd -s /sbin/nologin 用户名图4-12建立账户 （2）配置vsftpd.conf主配置文件并作相应修改 如图4-13vim /etc/vsftpd/vsftpd.conf anonymous_enable=NO：禁止匿名用户登录local_enable=YES：允许本地用户登录图4-13修改配置主配置文件local_root=/var/www/html：设置本地用户的根目录为/var/www/html 如图4-14chroot_list_enable=YES：激chroot功能 chroot_list_file=/etc/vsftpd/chroot_list：设置锁定用户在根目录中的列表文件图4-14设置本地用户的根目录（3）建立/etc/vsftpd/chroot_list文件，添加team1和team2帐号touch /etc/vsftpd/chroot_list，如图4-15图4-15添加账号（4）开启禁用SElinux的FTP传输审核功能，如图4-16setsebool -P ftpd_disable_trans .on也可以换成1，off为0图4-16开启禁用传输审核功能如不禁用SElinux的FTP传输审核功能则会出现如下错误：“500 OOPS:无法改变目录”如图4-17图4-17 测试（5）重启vsftpd服务使配置生效如图4-18service vsftpd restart图4-18重启（6）修改本地权限，如图4-19图4-19修改权限4.2.4测试图4-20测试需求目标全部达成，如图4-21图4-21测试5.NIS全攻略（第十二个任务）5.1企业需求公司准备在DMZ区域中放置多台服务器，服务器包括samba服务器、邮件服务器、WEB服务器、代理服务器，他们的IP分别是、，、，其于客户端为windows系统，使用windows域环境管理。为了方便日常的服务器管理工作，准备再搭建一台NIS服务器，其IP地址为38，为了方便管理，所有DMZ区域内的服务器都可以使用teamadmin帐号以及其他管理帐号登录。5.2需求分析在DMZ区域管理服务器并不需要架设Master/Slave结构环境，所以只需要设置好主NIS服务器即可。首先要设置的是建立teamadmin帐号并设置密码，然后配置NIS域名，例如NIS域名为dmz。下面还需要设置好主配置文件ypserv.conf以及建立数据库文件。还需要设置/etc/hosts、/etc/netgroup等配置文件。最后重新启动相关服务使配置生效。5.3解决方案1、安装NIS所需软件包，如图5-1图5-1安装软件包2、创建teamadmin用户，如图5-2图5-2创建用户3、设置NIS域名，如图5-3vim /etc/sysconfig/network图5-3设置域名vim /etc/rc.d/rc.local图5-4设置域名4、设置/etc/hosts配置文件，如图5-5vim /etc/hosts图5-5设置配置文件5、设置/etc/ypserv.conf主配置文件，如图5-6vim /etc/ypserv.conf图5-6设置主配置文件6、建立NIS数据库，如图5-7service ypserv start图5-7建立NIS数据库首先我们要启动ypserv服务，否则建立NIS数据库会报错/usr/lib/yp/ypinit -m图5-8测试当NIS数据库被建立之后，需要通知ypserv和yppasswdd这两个服务，以告知NIS数据库被更新过了，通常通知的方法就是重启这两个服务，如图5-9/etc/init.d/ypserv restart /etc/init.d/yppasswdd restart图5-9重启这两个服务7、建立信任群可以使用/etc/netgroup文件来建立NIS服务器所信任的客