Linux 操作系统管理及服务器配置.

1、网络工程实训和实践教程网络工程实训和实践教程 第五章第五章 Linux Linux 操作系统操作系统 管理及服务器配置管理及服务器配置 网络工程实训和实践教程网络工程实训和实践教程 主要内容主要内容 5.15.1基本管理基本管理 5.1.1基本操作 5.1.2网络管理 5.1.3安全管理 5.25.2基本服务基本服务 5.2.1远程联机服务器配置 5.2.2 Samba服务器配置 5.2.3 DHCP服务器配置 5.2.4 FTP服务器配置 5.35.3高级服务高级服务 5.3.1 DNS服务器配置 5.3.2 Web服务器配置 5.3.3电子邮件服务器配置 网络工程实训和实践教程网络工程实训

2、和实践教程 5.1基本管理基本管理 Linux Linux 操作系统是自由软件和开放源代码发展中最著操作系统是自由软件和开放源代码发展中最著 名的例子。很多人认为，和微软名的例子。很多人认为，和微软WindowsWindows相比，作为自相比，作为自 由软件的由软件的Linux Linux 操作系统具有低成本，高安全性，更操作系统具有低成本，高安全性，更 加可信赖等优势，但是同时却需要更多的人力成本。加可信赖等优势，但是同时却需要更多的人力成本。 LinuxLinux的吉祥物是一只可爱的小企鹅，的吉祥物是一只可爱的小企鹅， Red Hat Enterprise Linux Red Hat En

3、terprise Linux （简称（简称RHELRHEL）是）是Red HatRed Hat 公司的公司的Linux Linux 发行版，面向商业市场，包括大型机。发行版，面向商业市场，包括大型机。 RHELRHEL是目前是目前Linux Linux 服务器产品的标杆，在国内和国际服务器产品的标杆，在国内和国际 上都占据着主要的上都占据着主要的Linux Linux 服务器市场份额。服务器市场份额。RHELRHEL产品产品 功能全面，产品认证齐全，用户的接受度比较高。功能全面，产品认证齐全，用户的接受度比较高。Red Red HatHat公司的标志是一只小红帽，公司的标志是一只小红帽， 网络

4、工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 类别类别 实验名称实验名称实验类型实验类型实验难度实验难度知识点知识点 备注备注 基本管理 基本操作验证 文件、用户、进程管 理 网络管理验证ping、ifconfig等 安全策略验证netstat、iptable等 基本服务 远程联机服务器 配置 设计 Telnet、SSH、VNC Server Samba服务器配 置 设计原理、配置和管理 DHCP服务器配 置 设计原理、配置和管理 FTP服务器配置设计原理、配置和管理 高级服务 DNS服务器配置设计原理、配置和管理 选做 Web服务器配置设计原理、配置和管理 选做 EMai

5、l服务器配 置 综合原理、配置和管理 选做 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 LinuxLinux的基本管理包括用户和组的管理、进程管理、的基本管理包括用户和组的管理、进程管理、 文件和磁盘管理、软件管理、网络管理和安全管理文件和磁盘管理、软件管理、网络管理和安全管理 等多个方面。等多个方面。ShellShell是用户管理是用户管理Linux Linux 操作系统的操作系统的 命令行接口，命令行接口，ShellShell提供了几百条指令，虽然这些提供了几百条指令，虽然这些 指令的功能不同，但它们的使用方式和规则都是统指令的功能不同，但它们的使用方式和规则都是

6、统 一的。一的。 Linux Linux 指令使用的一般格式是：指令使用的一般格式是： 指令名 -选项 参数1 参数2 如： mkdir temp /创建一个目录temp 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 登录与关机登录与关机 login：login指令让用户登入系统，您亦可通过它的功能随时 更换登入身份。 exit：执行exit可使shell以指定的状态值退出。若不设置状态 值参数，则shell以预设值退出。 shutdown：shutdown指令可以关闭所有程序，并依用户的需要， 进行重新开机或关机的动作。 用户和组用户和组 useradd：可用来建立用

7、户账号。账号建好之后，再用passwd设 定账号的密码。 passwd：使用passwd指令用户可以更改自己的密码，而系统管 理者则能用它管理系统用户的密码。 su：该指令可让用户暂时变更登入的身份。变更时须输入所要 变更的用户帐号与密码。 chmod：变更文件与目录的权限，设置方式采用文字或数字代号 皆可。 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 文件与目录文件与目录 ls：执行ls指令可列出目录的内容，包括文件和子目录的名称。 cd：该指令可让用户在不同的目录间切换，但该用户必须拥有足够的 权限进入目的目录。 cat：把文件串连接后传到基本输出（屏幕或加 fi

8、lename 到另一个 文件）。 mkdir：可建立目录并同时设置目录的权限。 rm：执行rm指令可删除文件或目录，如欲删除目录必须加上参数“- r”，否则预设仅会删除文件。 cp：该指令用在复制文件或目录，如同时指定两个以上的文件或目录， 且最后的目的地是一个已经存在的目录，则它会把前面指定的所有文 件或目录复制到该目录中。 mv：该指令可移动文件或目录，或是更改文件或目录的名称。 find：该指令指令用于查找符合条件的文件。任何位于参数之前的字 符串都将被视为欲查找的目录。 tar：该指令是用来建立，还原归档文件的工具程序，它可以加入，解 开归档文件内的文件。 网络工程实训和实践教程网络工

9、程实训和实践教程 5.1基本管理基本管理 进程管理进程管理 ps：该指令是用来报告程序执行状况的指令，您可以 搭配kill指令随时中断，删除不必要的程序。 kill：结束执行中的程序或工作。 其他其他 vi：vi是Linux 最基本的、最常用的文本编辑工具。 man：显示特定指令的帮助。 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 环境与网络拓扑环境与网络拓扑 一台安装RHEL 6操作系统的PC机，假定用户root的密 码是：123456。 用户登录 Red Hat Enterprise Linux Server release 6.0 Red Hat Enterpr

10、ise Linux Server release 6.0 (Santiago)(Santiago) Kernel 2.6.32-71.el6.i686 on an i686Kernel 2.6.32-71.el6.i686 on an i686 localhost login:root localhost login:root /输入输入rootroot后，按后，按enterenter键键 Password: /Password: /输入密码输入密码123456123456，不会显示出来，不会显示出来 Last login:Sun Feb 20 06:13:15 on tty1Last log

11、in:Sun Feb 20 06:13:15 on tty1 rootlocalhost #rootlocalhost #/登录成功登录成功 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 切换用户切换用户 rootlocalhost #logout /退出当前用户 localhost login: /重新回到等待登录界面 退出登录退出登录 rootlocalhost #exit /退出登录，也可使用logout localhost login: /重新回到等待登录界面 系统关机系统关机 rootlocalhost #shutdown h now /立即关机 创建一个用户

12、创建一个用户zzzz rootlocalhost #useradd zz g root /创建一个zz用户，属于root组 rootlocalhost #passwd zz /为zz用户设置密码 Changing password for user zz. New password: /输入zznetwork，注意这里的输入并不显示 Retype new password: /再一次输入zznetwork passwd: all authentication tokens updated successfully. rootlocalhost # 网络工程实训和实践教程网络工程实训和实践教程

13、5.1基本管理基本管理 使用使用zzzz用户登录用户登录 rootlocalhost #exit /退出登录 localhost login:zz /重新回到等待登录界面 Password: /输入密码zznetwork，不会显示出来 zzlocalhost $ /zz用户登录成功 暂时变更登入的身份暂时变更登入的身份 zzlocalhost $ su /等价于su root Password: /输入root用户的密码 rootlocalhost # /实现暂时以root身份使用 rootlocalhost zz#exit /返回原登录用户身份 exit zzlocalhost zz$ 网络

14、工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 目录管理目录管理 zzlocalhost $mkdir temp /创建一个目录temp zzlocalhost $ls /列出当前目录下的文件和目录 temp zzlocalhost $cd temp /进入temp目录 zzlocalhost temp$pwd /查看当前工作路径 /home/zz/temp zzlocalhost temp$cd . /返回到上一级目录 zzlocalhost $rm r temp /删除目录temp 文件管理文件管理 zzlocalhost temp$cat sample.txt /使用c

15、at创建文件sample.txt Welcome to Linux /按ctrl+c退出 zzlocalhost temp$cat sample.txt /用cat显示文件sample.txt内容 Welcome to Linux zzlocalhost temp$cp sample.txt sample.bak.txt /复制sample.txt命名sample.bak.txt zzlocalhost temp$rm sample.txt /删除sample.txt文件 zzlocalhost temp$mv sample.bak.txt sample.txt /把sample.bak.tx

16、t 重命名为sample.txt 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 文件的查找与归档文件的查找与归档 zzlocalhost temp$find /home/zz name sample.txt /在/home/zz目录下查找名称为sample.txt的文件 /home/zz/temp/sample.txt zzlocalhost temp$tar cvf ./t.tar * /把当前目录下的所有文件和目录归档到上一级目录中的t.tar中 进程管理进程管理 显示进程最常用的方法是ps -aux,然后再利用一个管道符号导向到grep去查找特定的进程, 然后再对

17、特定的进程进行操作。 zzlocalhost temp$ps aux|grep crond/查看包含crond所有进程的信息 USER PID %CPU % MEM VSZ RSS TTY STAT START TIME COMMAND root 1723 0.0 0.4 1416 568 ?S 12:36 0:00 crond zz 8352 0.0 0.4 3568 624 tty1S 16:320:00 grep crond 使用使用killkill终止一个进程：终止一个进程： zzlocalhost temp$kill 1723 /结束进程号(PID)为1723的进程 （13）man指

18、令 zzlocalhost temp$man ls /查看ls指令的功能和使用方法 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 权限管理权限管理 在UNIX系统家族里，文件或目录权限的控制分别以读取，写入，执行3 种一般权限来区分，再搭配拥有者与所属群组管理权限范围。可以使 用chmod指令去变更文件与目录的权限，设置方式采用文字或数字代号 皆可。 使用方式 ：chmod -cfvR mode file 说明：说明： Linux/Unix Linux/Unix 的档案调用权限分为三级的档案调用权限分为三级 ： 档案拥有者、群组、其他。档案拥有者、群组、其他。 参数参数

19、modemode ：权限设定字串，格式如下：权限设定字串，格式如下： ugoa+-=rwx ugoa+-=rwx，其中，其中 u u 表示表示 该档案的拥有者，该档案的拥有者，gg 表示与该档案的拥有者属于同一个群体表示与该档案的拥有者属于同一个群体(group)(group)者，者，oo 表示其他以外的人，表示其他以外的人，aa 表示这三者皆是。表示这三者皆是。+ 表示增加权限、表示增加权限、- 表示取消权限、表示取消权限、 = 表示设定权限。表示设定权限。 r r 表示可读取，表示可读取，ww 表示可写入，表示可写入，xx 表示可执行。表示可执行。 举例举例 zzlocalhost tem

20、p$ls l sample.txtzzlocalhost temp$ls l sample.txt -rw-r-r- 1-rw-r-r- 1zzzzrootroot1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt /-rw-r-r- /-rw-r-r- /表示该文件为普通文件，所有者可以读写，表示该文件为普通文件，所有者可以读写， /root/root组和其他组的用户只读组和其他组的用户只读 zzlocalhost temp$chmod a+wr sample.txtzzlocalhost temp$chmod a+wr samp

21、le.txt zzlocalhost temp$ ls l sample.txtzzlocalhost temp$ ls l sample.txt -rw-rw-rw- 1-rw-rw-rw- 1zzzz root root1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 chmodchmod也可以用数字来表示权限，语法为：也可以用数字来表示权限，语法为： chmod abc filechmod abc file，其中，其中a a，b b，c c各为一个数字，分

22、各为一个数字，分 别表示别表示UserUser、GroupGroup、及、及OtherOther的权限。的权限。 r=4 r=4，w=2w=2， x=1x=1若要若要rwxrwx属性则属性则4+2+1=74+2+1=7；若要；若要rw-rw-属性则属性则4+2=64+2=6； 若要若要r-xr-x属性则属性则4+1=54+1=5。 举例举例 zzlocalhost temp$chmod 644 sample.txtzzlocalhost temp$chmod 644 sample.txt /表示该文件所有者可以读写表示该文件所有者可以读写(6)(6)， /root/root组用户只读组用户只读

23、(4)(4)，其他组的用户只读，其他组的用户只读(4)(4) zzlocalhost temp$ls l sample.txt zzlocalhost temp$ls l sample.txt -rw-r-r- 1 zz root-rw-r-r- 1 zz root1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt 网络工程实训和实践教程网络工程实训和实践教程 5.1基本管理基本管理 常见问题及解决方法常见问题及解决方法 当执行指令时，提示“找不到该指令”：请切换到 “root”用户试试。 使用chmod指令时出错，检查是否是该文件

24、的拥有者。 使用cat指令进行进行创建文件时，注意使用ctrl+c 回到命令状态。 如果在图形界面下操作出现假死机，可尝试切换到命 令行控制台使用kill指令结束有关进程。 网络工程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 几个重要文件几个重要文件 /etc/sysconfig/network：这个文件主要的功能在于 设定主机名称与启动网络一致。 /etc/sysconfig/network-scripts/ifcfg-eth0：网 卡参数的内容就在这个文件里。 /etc/resolv.conf：这个文件时设定DNS的内容。 /etc/hosts：这个文件记录计算机的I

25、P对应的主机名。 网络参数设定网络参数设定 ifconfig：查询、设定网卡与IP网络等相关参数。 ifup，ifdown：这两个指令通过更简单的方式启动或 关闭网卡。 route：查询、设定路由表。 网络工程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 网络查错与观察网络查错与观察 ping：执行ping指令会使用ICMP传输协议，发出要求回应的信 息，若远端主机的网络功能没有问题，就会回应信息，因而得 知该主机运作正常。 traceroute：traceroute指令让你追踪网络数据包的路由途径 节点状况，预设数据包大小是40Bytes，用户可另行设置。 netstat

26、：利用netstat指令可让你得知整个Linux 系统的网络 情况。 nslookup：实现主机名与IP地址的互相查询。 arp：显示和修改地址解析协议(ARP)使用的“IP到物理”地址 转换表。 封包封包 执行tcpdump指令可以将网络中传送数据包的“头”完全截取下 来提供分析。 网络工程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 环境与网络拓扑环境与网络拓扑 一台安装RHEL 6 操作系统的PC机，能够连接互联网， 假定用户root的密码是：123456。 主机名 IP03 Netmask Network192.168

27、.1.0/24 Broadcst55 Gateway DNS IP5 网络工程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 rootlocalhost Desktop#hostname rootlocalhost Desktop#hostname /查看主机名查看主机名 rootlocalhost Desktop#ifconfig rootlocalhost Desktop#ifconfig /查看所有的网络接口查看所有的网络接口 rootlocalhost Desktop#ifconfig eth0root

28、localhost Desktop#ifconfig eth0/查看名称为查看名称为eth0eth0的网络接口的网络接口 rootlocalhost Desktop#ifconfig eth0 03 rootlocalhost Desktop#ifconfig eth0 03 /设定第一块网卡的设定第一块网卡的IPIP地址为地址为0303，系统将会根据，系统将会根据 /该该IPIP自动计算出自动计算出netmasknetmask、networknetwork及及broadcastbroadcast等参数。等

29、参数。 rootlocalhost Desktop#/etc/init.d/network restart rootlocalhost Desktop#/etc/init.d/network restart /重启网络，也可以用重启网络，也可以用service network restartservice network restart rootlocalhost Desktop#ifup eth0rootlocalhost Desktop#ifup eth0 / /启动启动eth0eth0网卡设备网卡设备 rootlocalhost Desktop#ifdown eth0rootlocalh

30、ost Desktop#ifdown eth0 / /关闭关闭eth0eth0网卡设备网卡设备 rootlocalhost Desktop#route add default gw rootlocalhost Desktop#route add default gw /增加预设路由，也就是默认网关增加预设路由，也就是默认网关 rootlocalhost Desktop#/etc/init.d/network restart rootlocalhost Desktop#/etc/init.d/network restart /重启网络重启网络 网络工

31、程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 （3 3）设置）设置DNSDNS服务器服务器 rootlocalhost Desktop#vi /etc/resolv.conf/rootlocalhost Desktop#vi /etc/resolv.conf/编辑编辑DNSDNS配置相关文件配置相关文件 nameserver 5nameserver 5/保存文件退出，重启网络保存文件退出，重启网络 （4 4）网络观察与查错）网络观察与查错 rootlocalhost Desktop#ping 5 /root

32、localhost Desktop#ping 5 /测试测试DNSDNS服务器是否存在服务器是否存在 PING 5(5) 56(84) bytes of data.PING 5(5) 56(84) bytes of data. 64 bytes from 5:icmp_seq=1 tt1=60 time=28.8 ms64 bytes from 5:icmp_seq=1 tt1=60 time=28.8 ms CC -5

33、 ping statistics -5 ping statistics - 4 packets transmitted,4 received,0% packet loss,time 3265ms4 packets transmitted,4 received,0% packet loss,time 3265ms Rtt min/avg/max/mdev =26.854/28.022/28.880/0.817 msRtt min/avg/max/mdev =26.854/28.022/28.880/0.817 ms rootlocalhost Desktop#tracero

34、ute rootlocalhost Desktop#traceroute /显示数据包到显示数据包到间的路径间的路径 rootlocalhost Desktop#netstat rn /rootlocalhost Desktop#netstat rn /列出目前的路由表状态列出目前的路由表状态 rootlocalhost Desktop#netstat an /rootlocalhost Desktop#netstat an /列出目前的所有网络联机状态列出目前的所有网络联机状态 rootlocalhost Desktop#netstat tulnp /rootlocalhost Deskto

35、p#netstat tulnp /列出所有已经启动的网络服务列出所有已经启动的网络服务 rootlocalhost Desktop#nslookup .hk rootlocalhost Desktop#nslookup .hk /查询查询.hk主机的主机的IPIP地址信息地址信息 Server:Server:55 Address:Address:5#535#53 Non-authoritative answer:Non-authoritative answer: .hk canonical name = w

36、ww-g-com-hk-.hk canonical name = www-g-com-hk-. Name:Name:www-g-com-hk-www-g-com-hk- Address: 9Address: 9 网络工程实训和实践教程网络工程实训和实践教程 5.1.2网络管理网络管理 arparp指令使用指令使用 rootlocalhost Desktop#arp/查看ARP表 Address HWtype HWaddress Flags Mask Iface 01 ether 00:1d:92:7d:d1:c3 C eth0

37、 ether 00:1d:0f:47:55:74 C eth0 rootlocalhost Desktop# arp -s 6 00:15:F2:AF:3F:09 /添加静态ARP项 rootlocalhost Desktop#arp d /清空ARP缓存 封包封包 tupdump指令不但可以分析包的流向，包的内容也可以进行监听。 rootlocalhost Desktop#tcpdump i eth0 nn /以IP和端口捕获eth0网卡的数据包按下【ctrl】+C结束 rootlocalhost Desktop#tcpdump i eth0 nn

38、 port 21 /只捕获21端口的数据包 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 端口端口 通过“IP地址+端口号”来区分不同的服务。 端口分为两种，一种是TCP端口，一种是UDP端口。 相关指令相关指令 netstat：显示网络状态。 iptables：建立过滤规则，并将其添加到内核空间的 特定信息包过滤表内的链中。 iptablesiptables 通过使用iptables系统提供的特殊指令iptables建立 这些规则，并将其添加到内核空间特定信息包过滤表 内的链中。关于添加、去除、编辑规则的指令，一般 语法如下： iptables -t table

39、command match target 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 表表-t table-t table选项允许使用标准表之外的任何表。表是包含仅处选项允许使用标准表之外的任何表。表是包含仅处 理特定类型信息包的规则和链的信息包过滤表。有三个可用的表理特定类型信息包的规则和链的信息包过滤表。有三个可用的表 选项：选项：filterfilter、natnat和和manglemangle。该选项不是必需的，如果未指定，。该选项不是必需的，如果未指定， 则则filterfilter作为缺省表。作为缺省表。 commandcommand部分是部分是ipt

40、ablesiptables指令最重要的部分。它告诉指令最重要的部分。它告诉iptablesiptables指令指令 要做什么，例如插入规则、将规则添加到链的末尾或删除规则。要做什么，例如插入规则、将规则添加到链的末尾或删除规则。 匹配（匹配（matchmatch）部分指定信息包与规则匹配所应具有的特征（如源）部分指定信息包与规则匹配所应具有的特征（如源 地址、目的地址、协议等）。匹配分为通用匹配和特定于协议的地址、目的地址、协议等）。匹配分为通用匹配和特定于协议的 匹配两大类。匹配两大类。 目标（目标（targettarget）是由规则指定的操作，对与那些规则匹配的信息）是由规则指定的操作，对

41、与那些规则匹配的信息 包执行这些操作。除了允许用户定义的目标之外，还有许多可用包执行这些操作。除了允许用户定义的目标之外，还有许多可用 的目标选项。的目标选项。 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 端口查看端口查看 rootlocalhost Desktop#netstat tunl /列出正在监听 的网络服务 rootlocalhost Desktop# netstat tun /列出已连接的 网络联机状态 rootlocalhost Desktop# netstat tunp /以PID列出监 听的网络服务 rootlocalhost Desktop#

42、kill -9 2554 /假设进程ID是 2554， /通过结束进程来关闭该网络服务 防火墙开启与关闭防火墙开启与关闭 rootlocalhost Desktop# service iptables start /启动 rootlocalhost Desktop# service iptables stop /关闭 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 典型的典型的/etc/sysconfig/iptables/etc/sysconfig/iptables文件内容。文件内容。 # Firewall configuration written by syst

43、em-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT 0:0 :FORWARD ACCEPT 0:0 :OUTPUT ACCEPT 0:0 -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state -state NEW -m tcp -p tcp -dport 22

44、-j ACCEPT -A INPUT -j REJECT -reject-with icmp-host-prohibited -A FORWARD -j REJECT -reject-with icmp-host-prohibited COMMIT 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 查看规则集查看规则集 rootlocalhost Desktop#iptables list/查看规则 集 Chain INPUT (policy ACCEPT) target prot opt sourcedestination ACCEPT all - anywhere

45、anywhere state RELATED,ESTABLISHED ACCEPT icmp - anywhere anywhere ACCEPT all - anywhere anywhere ACCEPT tcp - anywhere anywhere state NEW tcp dpt:ssh REJECT all - anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all - anywher

46、e anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 设置缺省策略设置缺省策略 rootlocalhost Desktop# iptables -P INPUT DROP /设置缺省的策略 rootlocalhost Desktop#iptables -P FORWARD DROP /设置缺省的策略 rootlocalhost Desktop#iptables

47、-P OUTPUT ACCEPT /设置缺省的策略 网络工程实训和实践教程网络工程实训和实践教程 5.1.3安全管理安全管理 自定义防火墙策略自定义防火墙策略 rootlocalhost Desktop#iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP/阻止来自某一特定IP范围内的数据包 rootlocalhost Desktop# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP /阻止所有流向攻击者IP地址的数据包 rootlocalhost Desktop# ip

48、tables -D INPUT -dport 80 -j DROP /只接受来自指定端口（服务）的数据报 rootlocalhost Desktop#iptables -A FORWARD -p udp -d /24 -i eth0 -j ACCEPT /允许转发所有到本地的udp数据报（诸如即时通信等软件产生 /的数据报） rootlocalhost Desktop#iptables -A FORWARD -p tcp -d 1 -dport www -i eth0 -j REJECT /拒绝发往WWW服务器的客户端的请求数据报 rootloc

49、alhost Desktop# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP /删除现有的规则 rootlocalhost Desktop# iptables-save iptables-script /规则的保存 rootlocalhost Desktop# iptables-restore iptables-script /恢复规则集 网络工程实训和实践教程网络工程实训和实践教程 5.2基本服务基本服务 远程联机服务器远程联机服务器 对于远程管理Linux 系统非常有用。一般的操作系统中都提供了Telnet的远程 方式，但

50、是Telnet采用明文传输数据，带来很大安全隐患。SSH（Secure Shell protocol）服务器采用密文传输数据，但是使用的还是文本登录。如果使用图 形界面远程登录可以使用VNC（Virtual Network Computing）相关软件进一步 设置X Window登录系统。 网上邻居网上邻居 是一个可以方便地访问局域网内其他Windows计算机资源的共享方式，为了方便 Linux 用户和Windows用户共享资源，Samba服务器成为沟通Windows和Linux 的 桥梁。 DHCPDHCP（Dynamic Host Configuration ProtocolDynamic

51、 Host Configuration Protocol） 是一种帮助计算机从指定的DHCP服务器获取网络配置信息的自举协议，DHCP主 机能够自动将网络参数分配给网段内的每一台计算机，让客户端的计算机在启 动的时候可以自动设置网络参数。 FTPFTP（File Transfer ProtocolFile Transfer Protocol）服务）服务 是Internet最古老的协议之一，是上传/下载的主要工具。但是这个协议使用明 码传输，很不安全，为了更加安全的使用这个协议，可以使用功能较少但更安 全的vsftpd软件。 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远程联机服务器

52、配置远程联机服务器配置 rpmrpm指令指令 rpm是Red Hat Linux 发行版专门用来管理Linux 各项套件的程序，由 于它遵循GPL规则且功能强大方便，因而广受欢迎，逐渐受到其他发行 版的采用。 TelnetTelnet服务服务 Telnet是历史悠久的远程联机服务器，相关软件比较多，缺点就是使 用明文传输数据。如果要提供Telnet服务需要两个相关软件，一个是 客户端软件telnet，另一个是服务器端软件telnet-server。 SSHSSH服务服务 在默认的状态下，SSH服务提供两个服务器功能，一个类似Telnet远程 登录使用Shell的服务器，另一个是更安全的类似FT

53、P的服务。在客户 端对应登录指令分别是：ssh和sftp。 VNCVNC服务服务 通过VNC Server与VNC Client软件的互相配合，VNC可以进行较快速的 数据传输；如果要漂亮一点，可以配合XCDMP使用；也可通过启动KDE 或GNOME来代为管理。 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远程联机服务器配置远程联机服务器配置 环境与网络拓扑环境与网络拓扑 一台安装RHEL 6 操作系统的PC机，假定用户root的 密码是：123456，另一台安装Windows XP系统的PC机。 两台主机在一个局域网内， 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远

54、程联机服务器配置远程联机服务器配置 配置配置TelnetTelnet服务器服务器 安装软件 rootlocalhost Desktop# rpm qa |grep telnet rootlocalhost Desktop# rpm qa |grep telnet /确认是否已经安装确认是否已经安装TelnetTelnet有关软件。有关软件。 /如果没有安装可以从安装光盘找到有关如果没有安装可以从安装光盘找到有关rpmrpm软件，进行安软件，进行安 装装 rootlocalhost Desktop#rpm ivh telnet-server-rootlocalhost Desktop#rpm i

55、vh telnet-server- 0.17-46.el6.i686.rpm 0.17-46.el6.i686.rpm /安装安装TelnetTelnet服务器端软件服务器端软件 rootlocalhost Desktop#rpm ivh telnet-0.17-rootlocalhost Desktop#rpm ivh telnet-0.17- 46.el6.i686.rpm 46.el6.i686.rpm /安装安装TelnetTelnet客户端软件客户端软件 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远程联机服务器配置远程联机服务器配置 将将xinetdxinetd里面有关

56、里面有关TelnetTelnet的项目开启的项目开启 rootlocalhost Desktop#vi /etc/xinetd.d/telnet disable= yes /改为disable= no rootlocalhost Desktop#service xinetd restart /重启 xinetd服务 开放开放TCPTCP端口端口2323 rootlocalhost Desktop#vi /etc/sysconfig/iptables /添加下 面的文字 -A INPUT -m state -state NEW -m tcp -p tcp -dport 23 -j ACCEPT

57、rootlocalhost Desktop#service iptables restart /重启防火 墙 测试测试TelnetTelnet服务服务 rootlocalhost Desktop#telnet 03 /输入用户名和密码进行登录 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远程联机服务器配置远程联机服务器配置 配置配置SSHSSH服务器服务器 安装软件 rootlocalhost Desktop#rpm qa|grep openssh-serverrootlocalhost Desktop#rpm qa|grep openssh-server /

58、如果返回为空，则执行如下指令如果返回为空，则执行如下指令 /RHEL 6/RHEL 6默认安装默认安装OpenSSHOpenSSH服务器和客户端。服务器和客户端。 rootlocalhost # rpm ivh openssh-server-5.3p1-20.el6.i686.rpm rootlocalhost # rpm ivh openssh-server-5.3p1-20.el6.i686.rpm /安装安装SSHSSH服务器软件服务器软件 启动SSH服务 rootlocalhost Desktop#service sshd restart rootlocalhost Desktop#s

59、ervice sshd restart /启动启动SSHSSH服务服务 开放TCP端口22 rootlocalhost Desktop#vi /etc/sysconfig/iptablesrootlocalhost Desktop#vi /etc/sysconfig/iptables -A INPUT -m state -state NEW -m tcp -p tcp -dport 22 -j ACCEPT-A INPUT -m state -state NEW -m tcp -p tcp -dport 22 -j ACCEPT rootlocalhost Desktop#service iptables restart /rootlocalhost Desktop#service iptables restart /重启防火墙重启防火墙 网络工程实训和实践教程网络工程实训和实践教程 5.2.1远程联机服务器配置远程联机服务器配置 测试测试 客户端使用方式：如果是Windows平台，可以使用非 常好用的绿色软件PuTTY；如果是Linux 平台，只要 安装有openss-clients，使用ssh指令即可。 rootlocalhost Desktop#ssh 03 /连接IP地址为03的SSH服务器 网络工程实训和实践教程网络工程