Linu_各种应用服务器配置实验.doc

目录SMB实验2NFS实验3DNS实验4DHCP实验8FTP实验9WEB实验34Mail实验38VPN实验45iptable与防火墙实验46NTP实验48squid实验50telnet vnc ssh实验52helix实验55一、Linux系统用户账号的管理561、添加新的用户账号562、删除帐号573、修改帐号574、用户口令的管理585、口令时效59二、Linux系统用户组的管理601、增加一个新的用户组602、删除已有用户组613、修改用户组的属性614、用户在用户组间切换62三、目录权限管理621、3种基本权限622、查看文件和目录的权限623、更改操作权限（chmod/chown）634、更改属组或同组人645、设置文件和目录的生成掩码646、特殊权限设置65附录：661、用户和组状态命令662、Linux下的帐户系统文件663、Chmod命令详解684、Chown命令详解69在linux中添加ftp用户，并设置相应的权限70SMB实验实验1：建立SMB服务器，并根据以下要求配置SMB服务器:1.SMB服务器所属的群组名称为student 2.设置可访问SMB服务器的子网为 /243.设置SMB服务器监听的网卡为eth0 具体步揍：检查smb的安装： rpm -q samba 安装smb: rpm -ivh /media/cdrom/RedHat/RPMS/samba-3.0.10-1.4E.i386.rpm (插入第2张光盘）编辑smb配置文件：vi /etc/samba/smb.conf 修改第18行：workgroup = student 修改第28行：hosts allow = 192.168.16. 去掉项目前的；删除 修改第98行：interfaces = eth0 去掉项目前的；删除 存盘并重起smb: /etc/rc.d/init.d/smb restart实验2：在liunx中用户“root”与widows中用户“teacher”和“monitor”之间的映射具体步揍： 编辑smb配置文件：vi /etc/samba/smb.conf （root登录） 修改第84行： username map = /etc/samba/smbusers ；删除 存盘退出，运行：vi /etc/samba/smbusers 修改第2行：“root=administrator admin 改为 “root=teacher monitor 存盘退出,注意：使用前将root帐户添加到SMB用户中 实验3：建立共享目录student,本机路径为/home/student,teacher 组的用户可以读写目录，studet 用户只能读取具体步揍：建立组：groupadd teacher 添加用户到组：usermod -G teacher 用户名建立目录：mkdir /home/student编辑smb配置文件：vi /etc/samba/smb.conf配置文件末尾添加：student comment = teaching directory path = /home/student read list = student write list = teacher存盘退出,注意：使用前用password命令将所有teacher组帐户和 student帐户添加到SMB中实验4：测试SMB服务器检查smb client的安装: rpm -q samba-client smb client的安装: rpm -ivh /media/cdrom/RedHat/RPMS/samba-client- 3.0.10-1.4E.i386.rpm登录SMB：smbclient /RHEL4/student -U teacher1获取文件：get test.cfg /home/teacher1/test.cfgNFS实验实验一架设一台NFS服务器，并按照以下要求配置输出目录：（1）开放/nfs/shared目录，供所有用户查阅资料；（2）开放/nfs/upload目录作为/24网段的数据上传目录，并将所有用户及所属的用户组都映射为nfs-upload,其uid与gid均为210；（3）将/home/tom目录仅共享给0这台主机，并且只有用户tom可以完全访问该目录；具体步揍：检查NFS的安装：rpm -q nfs-utils portmap安装portmap服务：rpm -ivh /media/cdrom/RedHat/RPMS/portmap-4.0-63.i386.rpm安装NFS服务：rpm -ivh /media/cdrom/RedHat/RPMS/nfs-utils-1.0.6-46.i386.rpm （放入第二张光盘）创建目录：mkdir /nfs mkdir /nfs/shared mkdir /nfs/upload创建用户设置密码：useradd tom passwd tom编辑NFS主配置文件：vi /etc/exports 添加如下语句：/nfs/shared (ro) /nfs/upload /24(ro,all_squash,anonuid=210,anongid=210) /home/tom 0(rw)存盘退出实验二利用linux客户端连接并访问NFS服务器上的共享资源连接NFS服务器的/nfs/shared输出目录：mount -t nfs 77:/nfs/shared /mnt/nfs将openssl-0.9.8.tar.gz文件COPY到/root目录：cp /mnt/nfs/openssl-0.9.8.tar.gz /rootDNS实验实验1 安装并配置主要名称服务器，要求如下：（1）定义服务器的版本信息为“4.9.11”（2）设置根区域并下载根服务器信息文件named.ca,以便DNS服务器能在本地区域文件不能进行查询的解析时，能转到根DNS服务器查询。（3）建立 的主要区域，设置允许区域复制的辅域名服务器的地址为7（4）建立以下A资源记录 . IN A 77 . IN A . IN A 78（5）建立以下别名资源记录 BBS IN CNAME WWW（6）建立以下邮件交换器MX资源记录 XYZ.com. IN MX 10 .（7）建立反向解析区域16.168.192.,并为以上A资源记录建立对应的PTR 资源记录。具体步揍：检查DNS的安装：rpm -q bindDNS的安装： rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm rpm -ivh /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm （第四张安装盘）编辑DNS的配置文件：vi /var/named/chroot/etc/named.conf添加如下语句，定义服务器的版本信息：version 4.9.11从/domain/named.root下载根服务器最新版本，下载完成后，将其文件改名为named.ca,并复制到“/var/named/chroot/var/named/”目录下。添加如下语句，设置根区域：zone . type hint; file named.ca; ;添加如下语句，建立主区域：zone type master; file .zone; allow-transfer 7; ; ;创建并打开.zone 区域文件：vi /var/named/chroot/var/named/.zone在区域文件中添加如下语句：$ttl 38400 . IN SOAdns .. . ( 2005090508 10800 3600 604800 38400 ) . IN NS . . IN A 77 . IN A . IN A 78 . IN CNAME . . IN MX 10 编辑DNS的配置文件：vi /var/named/chroot/etc/named.conf添加如下语句，建立反向解析区域16.168.192.in-addr-arpa: zone 92. type master; file /var/named/192.168.16.arpa; ;创建并打开反向区域文件.arpa：vi /var/named/chroot/var/named/. arpa添加如下语句，为A资源记录建立对应的指针PTR资源记录：$ttl 3840092.. IN SOA . ( 1132239782 10800 3600 604800 38400 )92.. IN NS RHEL68.192.. IN PTR . IN PTR . IN PTR .实验2安装并配置辅助名称服务器，要求如下：（1）定义服务器的版本信息为“4.9.11”（2）建立 的从区域，设置主要名服务器的地址为77（3）建立反向解析从区域16.168.192.,设置主要名服务器的地址为77具体操作步揍：编辑DNS的配置文件：vi /var/named/chroot/etc/named.conf添加如下语句，建立从区域和反向解析从区域16.168.192.：options directory /var/named; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; version 4.9.11;include /etc/rndc.key;zone . type hint; file named.ca;zone type slave; file slaves/.zone; masters 77; ;zone 92. type slave; file slaves/.arpa; masters 77; ;实验3 安装并配置cache-only服务器，要求将客户机的查询转发到01这台DNS服务器上编辑DNS的配置文件：vi /var/named/chroot/etc/named.conf添加如下语句，配置cache-only:options directory /var/named; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; version 4.9.11; forward only; forwarders 01; ;include /etc/rndc.key;DHCP实验实验一架设DHCP服务器，要求如下：（1）作用域/24 ,动态分配范围：000（2）DNS： GATEWAY: DOMAIN NAME: 保留：0 具体步揍：检查DHCP服务的安装：rpm -q dhcp安装DHCP服务：rpm -ivh /media/cdrom/RedHat/RPMS/dhcp-3.0.1-12_EL.i386.rpm编辑DHCP服务配置文件：vi /etc/dhcpd.conf配置文件中添加如下语句：ddns-update-style interim; ignore client-updates; #为子网/24建立一个IP作用域 subnet netmask 将在000范围之内的IP地址动态分配给客户机 range 0 00; IP路由器地址为 option routers ; option subnet-mask ; 所在的网域名为 option domain-name ; DNS服务器地址为 option domain-name-servers ; option broadcast-address 55; default-lease-time 86400; max-lease-time 172800; 为网络适配器的物理地址为00:a0:c7:cf:ed:69的主机保留0 这个IP地址 host pc1 hardware ethernet 00:a0:c7:cf:ed:69; fixed-address 0; 查看IP和MAC：ifconfig实验2 测试DHCP打开网卡配置文件：vi /etc/sysconfig/network-scripts/ifcfg-eth0 编辑网卡配置文件：BOOTPROTO=NONE 改为 BOOTPROTO=dhcp重新启动网卡：ifdown eth0; ifup eth0测试：ifconfig eth0FTP实验用Linux构建最好的FTP服务器 - 在众多网络应用中，FTP（文件传输协议）有着非常重要的地位。Internet中一个十分重要的资源就是软件资源，而各种各样的软件资源大多数都放在FTP服务器中。与大多数Internet服务一样，FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户发出的命令，并将执行结果返回给客户机。FTP服务可以根据服务对象的不同分为两类：系统FTP服务器只允许系统上的合法用户使用；匿名FTP服务器（Anonymous FTP Server）允许任何人登录到FTP服务器去获取文件。FTP的数据传输模式针对FTP数据连接而言，分为主动传输模式、被动传输模式和单端口传输模式三种。 1主动传输模式当FTP的控制连接建立，客户提出目录列表、传输文件时，客户端发出PORT命令与服务器进行协商，FTP服务器使用一个标准端口20作为服务器端的数据连接端口（ftp-data），与客户建立数据连接。端口20只用于连接源地址是服务器端的情况，并且端口20没有监听进程来监听客户请求。 在主动传输模式下，FTP的数据连接和控制连接方向相反，由服务器向客户端发起一个用于数据传输的连接。客户端的连接端口由服务器端和客户端通过协商确定。 2被动传输模式当FTP的控制连接建立，客户提出目录列表、传输文件时，客户端发送PASV命令使服务器处于被动传输模式，FTP服务器等待客户与其联系。FTP服务器在非20端口的其它数据传输端口上监听客户请求。 在被动传输模式下，FTP的数据连接和控制连接方向一致，由客户端向服务器发起一个用于数据传输的连接。客户端的连接端口是发起该数据连接请求时使用的端口。当FTP客户在防火墙之外访问FTP服务器时，需要使用被动传输模式。 3单端口模式除上述两种模式之外，还有一种单端口模式。该模式的数据连接请求由FTP服务器发起。使用该传输模式时，客户端的控制连接端口和数据连接端口一致。因为这种模式无法在短时间连续输入数据、传输命令，因此并不常用。 Linux下有很多可用的FTP服务器，其中比较流行的有WU-FTP（Washington UniversityFTP）和VSFTP。Red Hat 8.0中自带了WU-FTP和VSFTP两个软件。WU-FTP是一个著名的FTP服务器软件，它功能强大，能够很好地运行于众多Unix操作系统中。不过作为后起之秀的VSFTP越来越流行，在Red Hat 9.0发行版中就只带有VSFTP。 VSFTP中VS的意思是“Very Secure”。从名称可以看出，从一开始，软件的编写者就非常注重其安全性。除与生俱来的安全性外，VSFTP还具有高速、稳定的性能特点。在稳定性方面，VSFTP可以在单机（非集群）上支持4000个以上的并发用户同时连接。据的数据，VSFTP最多可以支持15000个并发用户。 快速构建FTP服务器 FTP服务器实现的基本功能是上传下载，下面就分几个步骤来搭建一个可以实现下载功能的简易FTP服务器。 1安装FTP服务器如果在安装系统时没有选择安装FTP服务器，可以通过Red Hat 9.0中的“添加/删除应用程序”工具进行安装。具体方法是，选择“主选单”“系统设置”“添加/删除应用程序”，在弹出的界面中选中FTP服务器，单击“更新”即可。 如果无法确认是否安装了该软件，可以使用以下命令查看： #rpm -qa|grep vsftpdvsftpd-1.1.3-82启动FTP服务器套用Red Hat 9.0的预设范例直接启动VSFTP。# /sbin/service vsftpd start 为vsftpd启动vsftpd： 确定 3在/var/ftp/pub目录下创建一个名为test.txt的文件，文件内容为“This is a testfile”。 4测试使用FTP客户端登录到本地服务器，然后以匿名身份（anonymous）登录： # ftp Connected to ().220 (vsFTPd 1.1.3)Name (:root): anonymous331 Please specify the password.Password:230 Login successful. Have fun.Remote system type is UNIX.Using binary mode to transfer files.这样就成功地登录到FTP服务器。可以显示服务器目录列表如下： ftp ls227 Entering Passive Mode (127,0,0,1,63,15)drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub226 Directory send OK. 切换到pub目录下，并显示目录内容，可以找到刚才创建的文件test.txt： ftp cd pub250 Directory successfully changed.ftp ls227 Entering Passive Mode (127,0,0,1,232,34)150 Here comes the directory listing.-rw-r-r- 1 0 0 21 Dec 04 01:35 test.txt226 Directory send OK. 下载test.txt文件： ftp mget test.txtmget test.txt? y227 Entering Passive Mode (127,0,0,1,186,210)150 Opening BINARY mode data connection for test.txt (21 bytes).226 File send OK.21 bytes received in 0.0108 secs (1.9 Kbytes/sec) 查看本机目录内容，可以看到test.txt已成功下载到本机。 ftp !lsa EIO_Binders initrd mnt proc tftpboot ylg.txtbin etc lib mymnt root tmpboot home lost+found myshare sbin usrdev id_dsas.pub misc opt test.txt var 尝试上传名为ylg.txt的文件，可以看到请求被拒绝了。 ftp put ylg.txtlocal: ylg.txt remote: ylg.txt227 Entering Passive Mode (127,0,0,1,243,10)550 Permission denied. 退出登录： ftp bye221 Goodbye. 由测试可以看出，已经可以下载文件，但不能上传文件（也不能在服务器上创建目录和文件）。实际上这是一个专门提供下载服务的匿名FTP服务器。 从上面的步骤可以看出，并不需要做什么配置就可以完成一个简易FTP服务器的架设。这是因为Red Hat已经配置好一个缺省的FTP服务器。不过在实际应用中，大部分情况下这个简易的服务器并不能满足需求。 进一步配置FTP服务器 下面将创建一个能够满足常用需求的FTP服务器。实际应用中，FTP服务器一般要同时提供上传和下载功能。此外，出于安全考虑，还需要有用户身份验证、用户权限设置及空间管理等。下面就来搭建这样一个FTP服务器。 1创建欢迎语。如果希望使用者在进入目录时，能够看到欢迎语或对本目录的介绍，可以通过以下方法来实现。 确定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES，默认情况下，Red Hat9.0有此设置。接着，在目录中新增名为.message的文件。本例在/home/ylg目录下创建一个.message文件，其内容为“欢迎来到我的FTP站点”。 2更换FTP服务器的默认端口。将预设的21端口改为2121，这样做是基于安全的考虑。更改方法为，使用vi打开/etc/vsftpd/vsftpd.conf： #vi /etc/vsftpd/vsftpd.conf 在文件最后增加如下一行内容：listen_port=2121 3取消anonymous登录的功能。在vsftpd.conf文件中找到如下一行，并将其值改为“NO”： anonymous_enable=YES 4设定使用者不得更改目录。这样做的目的也是基于安全性的考虑。一般情况下，使用者的预设目录为/home/username。若是不希望使用者在登录后能够切换至上一层目录/home，则可通过以下设置来实现。在/etc/vsftpd/vsftpd.conf文件中找到以下三行内容： #chroot_list_enable=YES# (default follows)#chroot_list_file=/etc/vsftpd.chroot_list 将其改为： chroot_list_enable=YES# (default follows)chroot_list_file=/etc/vsftpd/chroot_list 新增一个文件/etc/vsftpd/chroot_list，文件内容为两个用户名： ylguser1 5针对不同的使用者限制不同的速度。假设用户ylg所能使用的最高速度为500Kb/s，用户user1所能使用的最高速度为250Kb/s，可以通过以下方法设置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行：user_config_dir=/etc/vsftpd/userconf 增加一个名为/etc/vsftpd/userconf的目录： #mkdir /etc/vsftpd/userconf 在/etc/vsftpd/userconf下新增一个名为ylg的文件，其内容如下所示： local_max_rate=500000 在/etc/vsftpd/userconf目录下新增一个名为user1的文件，其内容如下所示： local_max_rate=250000 VSFTP对于速度的限制范围大概在80到120之间，也就是限制最高速度为100Kb/s，但实际的速度可能在80Kb/s到120Kb/s之间。如果频宽不足，数值会低于此限制。 6对于每一个联机用户，都以独立的进程来运行。一般情况下，在启动VSFTP时，只会看到一个名为vsftpd的进程在运行。但若是读者希望每一个联机用户都能以独立的进程来呈现，则可通过在/etc/vsftpd/vsftpd.conf文件中增加以下一行来实现： setproctitle_enable=YES 7保存/etc/vsftpd/vsftpd.conf文件，然后重新启动vsftpd： #service vsftpd restart 8测试刚创建的FTP服务器。 以缺省方式登录会被拒绝，因为此时的默认端口号已经更改为2121，所以登录时需指定端口。 # ftp ftp: connect: Connection refused 此时也不能再使用匿名方式登录： # ftp 2121Connected to ().220 (vsFTPd 1.1.3)Name (:root): anonymous331 Please specify the password.Password:530 Login incorrect.Login failed. 如果以用户ylg则可以成功登录（指定端口2121），并显示欢迎信息： # ftp 2121Connected to ().220 (vsFTPd 1.1.3)Name (:root): ylg331 Please specify the password.Password:230-欢迎来到我的FTP站点230 Login successful. Have fun.Remote system type is UNIX.Using binary mode to transfer files. 因为在设置中设定了不能切换目录，所以下列命令无法正确执行： ftp cd /home550 Failed to change directory. 再来测试一下上传和下载。首先下载服务器目录中的test.txt文件： ftp get test.txtlocal: test.txt remote: test.txt227 Entering Passive Mode (127,0,0,1,243,215)150 Opening BINARY mode data connection for test.txt (21 bytes).226 File send OK.21 bytes received in 0.00308 secs (6.7 Kbytes/sec) 可以通过!ls命令看到本机目录中已成功下载该文件。然后上传本机目录中的ylg.txt文件到服务器： ftp put ylg.txtlocal: ylg.txt remote: ylg.txt227 Entering Passive Mode (127,0,0,1,133,248)150 Ok to send data.226 File receive OK.19 bytes sent in 0.0401 secs (0.46 Kbytes/sec) 用ls命令查看服务器目录，会发现该文件已成功上传。 为了测试不同连机用户使用的是不同进程，可以使用ps -ef指令，显示如下所示： # ps -ef|grep ftp root 12972 1356 0 13:44 pts/1 00:00:00 ftp 2121nobody 12973 12908 0 13:44 ? 00:00:00 vsftpdylg 12975 12973 0 13:44 ? 00:00:00 vsftpduser1 13013 13011 0 13:46 ? 00:00:00 vsftpdroot 13041 13015 0 13:47 pts/4 00:00:00 grep ftp 到现在为止，一个基本可以满足普通使用需求的FTP服务器就已经架设完成。 在实际应用中，有时为了增加安全性，会将FTP服务器置于防火墙之后。如本文开头所述，被动传输模式适合于带有防火墙的情况。下面就来创建一个防火墙后的FTP服务器，该服务器FTP端口为2121，数据传输端口为2020。 执行以下两行指令，只允许2121和2020端口打开，其余端口关闭： #iptables -A INPUT -p tcp -m multiport -dport 2121,2020 -j ACCEPT #iptables -A INPUT -p tcp -j REJECT -reject-with tcp-reset 修改/etc/vsftpd/vsftpd.conf文件，在文本最后添加以下两行： listen_port=2121ftp_data_port=2020 重新启动vsftpd：#service vsftpd restart 有时希望直接在/etc/hosts.allow中定义允许或拒绝某一源地址，可以通过以下配置来实现。先确保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES，Red Hat 9.0中，这是默认值。重新启动vsftpd： #service vsftpd restart 假设提供和到54的连接，则可对/etc/hosts.allow进行如下设定： vsftpd : 210.31.8. : allow ALL : ALL : DENY 配置虚拟用户FTP 上面配置的FTP服务器有一个特点，就是FTP服务器的用户本身也是系统用户。这显然是一个安全隐患，因为这些用户不仅能够访问FTP，也能够访问其它的系统资源。如何解决这个问题呢？答案就是创建一个虚拟用户的FTP服务器。虚拟用户的特点是只能访问服务器为其提供的FTP服务，而不能访问系统的其它资源。所以，如果想让用户对FTP服务器站内具有写权限，但又不允许访问系统其它资源，可以使用虚拟用户来提高系统的安全性。 在VSFTP中，认证这些虚拟用户使用的是单独的口令库文件（pam_userdb），由可插入认证模块（PAM）认证。使用这种方式更加安全，并且配置更加灵活。 下面介绍配置过程。 1生成虚拟用户口令库文件。为了建立此口令库文件，先要生成一个文本文件。该文件的格式如下，单数行为用户名，偶数行为口令： #vi account.txtylg1234zhanghong4321gou5678 2生成口令库文件，并修改其权限： #db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db#chmod 600 /etc/vsftpd/account.db 3新建一个虚拟用户的PAM文件。加上如下两行内容： #vi /etc/pam.d/vsftp.vuauth required /lib/security/pam_userdb.so db=/etc/vsftpd/accountaccount required /lib/security/pam_userdb.so db=/etc/vsftpd/account 4建立虚拟用户，设置该用户所要访问的目录，并设置虚拟用户访问的权限： #useradd -d /ftpsite virtual_user#chmod 700 /ftpsite 经过该步骤的设置，/ftpsite就是virtual_user用户的主目录，该用户也是/ftpsite目录的拥有者。除root用户之外，只有该用户具有对该目录的读、写和执行的权限。 5生成一个测试文件。先切换至virtual_user用户身份，然后在/ftpsite目录下创建一个文件： #su -virtual_user$vi /ftpsite/mytestThis is a test file.$su - root 6编辑/etc/vsftpd/vsftpd.conf文件，使其整个文件内容如下所示（去掉了注释内容）： anonymous_enable=NOlocal_enable=YESlocal_umask=022xferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=YESwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESone_process_model=NOchroot_local_user=YESftpd_banner=Welcom to my FTP server.anon_world_readable_only=NOguest_enable=YESguest_username=virtual_userpam_s