Linux服务器配置与管理教学文案

1、Good is good, but better carries it.精益求精，善益求善。Linux服务器配置与管理案例1：如果是用映像文件安装的Linux系统，则在需要通过光盘安装系统中的软件的时候，可以在虚拟机的VM选项中选择RemovableDevices中的CD/DVD(IDE)中的setting，然后在右侧选择UseISOimagefile，同时要选中上方的connected。确定后会在系统中出现一个光盘的图标。这样这个映像文件就加载到了系统上，在Linux系统中如果想访问它，首先要把这个文件用mount命令挂载起来，才能访问其中的文件，然后就可以通过进入目录来访问其中的文件了。安

2、装软件包的命令为rpmivh*.rpm2：在ubuntu下建立FTP服务器：(虚拟机的网络设置一定要设置为桥接，然后使用dhclient重新分配IP地址)1）安装vsftpd：sudoapt-getinstallvsftpd,安装完毕后或许会自动生成一个账户“ftp”，/home下也会增加一个文件夹，如果没有生成这个用户的话，可以手动添加：sudouseradd-mftp;sudopasswdftp;(如果创建不成功的话，可以在root用户下创建)还要更改权限：sudochmod777/home/ftp2）配置文件：通过sudogedit/etc/vsftpd.conf修改，如下：#独立模式启

3、动listen=YES#同时允许4客户链接，每个IP最多5个进程max_clients=200max_per_ip=4#不允许匿名用户访问，允许本地系统登录anonymous_enable=NOlocal_enable=YESwrite_enable=NO#是否采用端口20进行数据传输connetc_from_port_20=YES#生成日志xferlog_enable=YES#指定登录转向目录local_root=/home/ftp/ftp3)最后要重启ftp服务：sudo/etc/init.d/vsftpdrestart;此外还有开启和关闭服务的命令：sudo/etc/init.d/vsf

4、tpdstart;sudo/etc/init.d/vsftpdstop.然后就可以通过ftp命令来访问了。3：创建和修改用户账号，使其有一个nologinshell：由于安全原因，有时候需要让你的用户不能登录服务器，一个简单的方法就是配置他们的账号，把登录的shell设置成/sbin/nologin，要修改一个已经存在的账号命令如下：usermods/sbin/nologinusername,也可以创建一个文件/etc/nologin，然后用命令：usermods/etc/nologinusername。如果需要在用户创建时就默认为/sbin/nologin登录，可以用useraddDs/sb

5、in/nologin，这样在使用useradd增加新用户时，就不需用-s指定登录shell了，缺省的登录shell就是/sbin/nologin，这个配置仍然允许用户执行重要的日常任务，比如收发信件、FTP、访问网路共享目录和其他任务，它只是阻止用户登录服务器。第一章Linux概述1、linux内核由5个子系统组成：箭头表示依赖于进程调度程序(SCHED)负责控制进程访问CPU。调度程序所使用的策略可以保证进程能够公平地访问CPU，同时保证内核可以准时执行一些必需的硬件操作。内核管理程序（MM）使多个进程可以安全地共享及其的主存系统，此外，内存管理程序支持虚拟内存，使Linux可以支持进程使用

6、超过系统中的内存数量的内存。虚拟文件系统（VFS）通过提供一个所有设备的公共文件接口，VFS抽象了不同硬件设备的细节，此外，VFS支持与其他操作系统兼容不同的文件系统格式。网络接口（NET）提供了对许多建网标准和网络硬件的访问。进程间通信（IPC）子系统为单个Linux系统的进程与进程之间通信提供了一些机制，2、LinuxShell：Shell是一个命令解释器，它解释由用户输入的命令并且把命令送到内核，目前主要有下列版本的Shell：BourneShell：是贝尔实验室开发的；BASH：是GUN的BourneAgainShell，是GUN操作系统上默认的Shell；KornShell：是对Bo

7、urneShell的发展，在大部分内容上与BourneShell兼容；CShell：是SUN公司Shell的BSD版本。3、Linux的实用工具可分为三类：编辑器用于编辑文件，如Ed、Ex是行编辑器，Vi和Emacs是全屏幕编辑器。过滤器用于接收数据并过滤数据，如Filter交互程序允许用户发送信息或接收来自其他用户的信息，是用户与机器的信息接口，信息的发送方式有两种：一种是与其他用户一对一地进行对话，另一种是一个用户对多个用户同时连接进行通信，即所谓广播通信。4、POSIX标准：表示可移植操作系统接口（PortableOperatingSystemInterface），电气和电子工程师协会（

8、IEEE）最初开发POSIX标准，是为了提高UNIX环境下应用程序的可移植性。5、Linux的优点：开放性；多用户；多任务；良好的用户界面；设备独立性：是指操作系统把所有外部设备统一当做文件来看待，只要安装他们的驱动程序，任何用户都可以像使用文件一样，操纵、使用这些设备，而不必知道它们的具体存在形式；提供了丰富的网络功能；可靠地系统安全；良好的可移植性。6、Linux的启动过程：首先进行内核的引导，接下来执行init程序，init程序调用了rc.sysinit和rc等程序，当rc.sysinit和rc完成系统初始化和运行服务的任务后，返回init；init启动了mingetty后，打开了终端供

9、用户登录系统，用户登录成功后进入Shell，这样就完成了从开机到登录的整个启动过程。1）内核的引导（核内引导）：RedHatEnterpriseLinuxAS4可以使用lilo或grub等引导程序开始引导Linux系统，当引导程序成功完成引导任务后，Linux从它们手中接管了CPU的控制权，然后CPU就开始执行Linux的核心映像代码，开始了Linux启动过程。2）运行init：int进程号是1，是系统所有进程的起点，init程序需要读取配置文件/etc/inittab，它是一个不可执行的文本文件，inittab的格式：id:runlevel:action:process，id是指入口标识符，

10、它是一个字符串，对于getty或mingetty等其他login程序项，要求id与tty的编号相同，否则getty程序将不能正常工作。Runlevel是init所处于的运行级别的标识，一般使用0-6,0,1,6运行级别被系统保留，0作为shutdown动作，1为重启至单用户模式，6为重启；action是描述其后面的process的运行方式的，action的值包括：initdefault、sysinit、boot、bootwait等。Process为具体的执行程序，程序后面可以带参数。3）系统初始化：在init的配置文件中有这么一行：si:sysinit:/etc/rc.d/rc.sysinit

11、它调用执行了/etc/rc.d/rc.sysinit,而rc.sysinit是一个bashShell的脚本，它主要完成一些系统初始化的工作，rc.sysinit是每个运行级别都要首先运行的重要脚本，它主要完成的工作由激活交换分区、检查磁盘、加载硬件模块，以及其他一些需要优先执行任务。4）启动对应运行级别的守护进程：在rc.sysinit执行后，将返回init继续其他的动作，通常接下来会执行到/etc/rc.d/rc程序，至于每个运行及中将运行哪些守护京城，用户可以通过chkconfig或setup中的”SystemServices”来自行设定，常见的守护进程有：amd自动安装NFS守护进程；a

12、pmd高级电源管理守护进程；arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库；autofs自动安装管理进程automount，与NFS相关，依赖于NIS；crondLinux下的计划任务的守护进程；namedDNS服务器；netfs安装NFS、Samba和NetWare网络文件系统；network激活已配置网络接口的脚本程序；nfs打开NFS服务；portmapRPCportmap管理器，它管理基于RPC服务的连接；sendmail邮件服务器sendmail；smbSamba文件共享/打印服务；syslog一个让系统引导时启动syslog和klogd系统日志守

13、护进程的脚本；xfsXWindow字型服务器，为本地和远程X服务器提供字型集；Xinetd支持多种网络服务的核心守护进程，可以管理wuftp、sshd、telnet等服务。5）建立终端：rc执行完毕后，返回init，init接下来会打开6个终端，以便用户登录系统，在inittab中的一下6行就是定义了6个终端：1:2345:respawn:/sbin/mingettytty12:2345:respawn:/sbin/mingettytty2可以看出在2、3、4、5的运行级别中都将以respawn方式运行mingetty程序，它能够打开终端、设置模式，同时会显示一个文本登录界面。6）登录系统，启

14、动完成：Linux账号验证程序时login，它会接收mingetty传来的用户名作为用户名参数，然后login会对用户名进行分析，如果用户名不是root，且存在/etc/nologin文件，login将输出nologin文件的内容然后退出，这通常用来系统维护时防止非root用户登录。只有/etc/securetty中登记了的终端才允许root用户登录，如果不存在这个文件，则root可以在任何终端上登录。在分析完用户名后，login将搜索/etc/passwd与/etc/shadow来验证密码，以及设置账户的其他信息，如果没有指定主目录，将默认为跟目录；如果没有指定Shell，将默认为/bin/

15、bash。Login程序成功后，会向对应的终端在输出最近一次登录的信息，并检查用户是否有新邮件(在/usr/spool/mail的对应用户名目录下)，然后开始设置各种环境变量。对于bash来说，系统首先寻找/etc/profile脚本文件，并执行它；然后如果用户的主目录中存在.bash_profile文件，就执行它，在这些文件中有可能调用了其他配置文件。Linux启动过程7、Linux的关闭与重新引导：使用shutdown命令，参数选项有：-k不是真正关闭系统，只是警告；-h关闭后暂停；-r关闭后重新引导；-c取消已经运行的关闭操作；-n不通过init直接关闭；-f快速重新引导；time关闭的

16、时间。8、硬盘分区：1）扩展分区和逻辑分区，DOS分区命令FDISK允许用户创建一个扩展分区，并且在扩展分区内再建立最多23个逻辑分区，其中每个分区单独分配一个盘符，可以被计算机作为独立的物理设备使用，关于逻辑分区的信息都被保存在扩展分区中，而主分区和扩展分区的信息被保存在硬盘的MBR（MasterBootRecord,主引导记录）中，也就是说无论硬盘有多少个分区，其主启动记录中只包含主分区和扩展分区的信息。2）一个误解：许多人认为在对硬盘分区时最好多创建几个逻辑分区，这样可以避免出现问题的分区影响到保存在其他分区中的数据，但是，一个被破坏的分区往往会导致整个硬盘无法正常使用，如果由于某种原因

17、使MBR受到破坏，硬盘主分区将无法使用，进而使包含操作系统的启动盘也无法使用。3）Windows操作系统分区：一般采用一个主分区(C)加一个扩展分区，在扩展分区中内建立多个逻辑分区的方案。9、Linux分区1）设备管理：在Linux中，每一个硬件设备都映射到一个系统的文件，对于硬盘、光驱等IDE或SCSI设备也不例外，Linux把各种IDE设备分配了一个有hd前缀组成的文件，而对各种SCSI设备，则分配了一个有sd前缀组成的文件，如：IDE设备为hda,hdb,，SCSI设备是：sda,sdb等。2）分区数量：对于每一个硬盘（IDE或SCSI）设备，Linux分配了一个1-16的序列号码，这就

18、代表了这块硬盘上的分区号码，如：第一个IDE硬盘的第一个分区为hda1,第二个分区时hda2,对于SCSI硬盘则是sda1、sda2。3）各分区的作用：主分区是计算机用来进行启动操作系统的，因此每个操作系统的启动（也称为引导程序）都应该存放在主分区上，在执行安装引导Linux的bootloader的时候，必须制定在主分区上，Linux规定了主分区（或扩展分区）占用1-16号码中的前4个号码，以第一个IDE硬盘为例说明，主分区（或扩展分区）占用了hda1、hda2、hda3、hda4,而逻辑分区占用了hda5-hda16，因此Linux下面每个硬盘最多有16个分区。4）分区指标：分区的大小和类型

19、是最主要的指标，分区类型规定了这个分区上面的文件系统的格式，在Linux系统中，可以通过分区类型号码来区别这些不同类型的分区。10、文件系统，指文件存在的物理空间。Linux有4中基本文件系统类型：普通文件、目录文件、连接文件和特殊文件。其中特殊文件为Linux的一些设备如磁盘、终端、打印机等都在文件系统中表示出来，常放在/dev目录内，Linux没有C:的概念，而是用/dev/hda来表示第一磁盘。11、Linux分区方案：每个Linux系统中必须要有的分区只有两个，一个是根分区(/)，一个是交换区(swap)，这个分区只能是swap格式，其大小一般设置为内存的两倍大小（内存少于256MB时

20、）或和内存一样（内存为256M及以上时）。交换分区swap的功能和Windows下的交换文件相同，都是作为虚拟内存使用，但是Windows下，交换文件的大小是动态增长的（也可以固定），从而要求必须为交换文件所在分区保留一定的空间（一般C盘必须保留300MB左右的空间备用），否则运行大程序时会提示虚拟内存不足，而Linux下，由于虚拟内存采用了独立的分区，在文件分区时可以不必考虑文件交换问题。好的分区方案是独立分出/home去作为用户盘，/usr去作为软件盘，余下的一些系统文件都放到/去，作为系统盘，另外还有一个适于当前内存的swap交换区，一个40GB的硬盘分区如下：设备挂载点分区格式大小/d

21、ev/hda1/(系统盘)reiser6GB/dev/hda5swap(交换区)swap1GB/dev/hda6/usr(软键盘)ext310.5GB/dev/hda7/home(用户盘)ext320GB12、安装过程中应当注意的一些问题：1）如果要和Windows混装，一定要先装Windows，后装Linux。2）分区时，根据计划安装的软件灵活决定分区，一般有：/，/root，/usr，/var和swap分区。3）一般安装Linux的做法是开始安装一个最小系统，然后安装所有的编译工具。4）如果和Windows混装的时候，安装完成后但系统不能正常启动，可以用Windows98启动盘启动，然后用

22、FDISK/MBR恢复主引导分区来保住Windows分区。13、删除RedHatEnterpriseLinux步骤1）使用DOS启动盘启动，用fdisk/mbr命令删除GRUB。2）使用分区魔术师RartitionMagic或DM等分区工具删除Linux分区，然后将删除Linux分区后留下的可用空间分区和格式化即可。14、文件系统：1）以“.”开头的文件名是银行文件，默认方式下使用ls命令并不能把它们在屏幕上显示出来，加上-a选项可以，同样在默认的情况下，Shell通配符并不匹配这类文件名。2）使用file命令可以确定指定文件的类型，形式如下：file文件名文件名，每个目录的第一项都表示目录本

23、身，并以“.”作为它的文件名，每个目录的第2项的名字是“.”，表示该目录的父目录。3）ln命令用来创建链接，默认情况下，无参数的ln命令创建硬链接，ln命令会增加链接数，rm命令会减少链接数，一个文件除非链接数位0，否则不会从文件系统中删除。对硬链接有如下限制：不能对目录文件作硬链接；不能再不同的文件系统之间作硬链接。15、文件系统及其安装：1）建立文件系统，当硬盘完成分区后，应该在该分区上建立文件系统，通过mkfs命令，如果需要在分区/dev/hda1上建立ext2文件系统，并检查坏块，应使用：mkfsc/dev/hda1，只有root用户才能建立或安装/卸载文件系统，可以通过ls/sbin

24、/mk*来查看有哪些命令。2）安装文件系统，使用mount将该文件系统安装到主文件系统中，有三个主要参数：第一个为需要安装的文件系统类型，用-tfstype选项来指定；第二个为所需访问的文件系统所在分区名，通常是位于目录/dev中的特别设备文件；第三个为安装新文件系统的路径名，也就是放置新文件系统的安装点。3）卸载文件系统，在关闭系统之前，为了保证文件系统的完整性，所有安装的文件系统都必须被卸载，通常在/etc/fstab文件中定义的文件系统都能够自动卸载，但是手工mount的文件系统，在关闭系统之前必须手工卸载，格式为：umount分区名或分区的安装点。对于正在使用的文件系统，不能使用umo

25、unt卸载。16、用户操作，增加一个用户为useraddusername;passwdusername;用useradd增加一个用户后应该立刻用passwd给新用户修改密码，没有密码的新账号将不能使用。17、修改用户Shell使用chsh命令可以修改自己的Shell，只有管理员才能用chshusername为其他用户修改Shell设置，注意，指定的Shell必须是列入/etc/shells文件中的Shell，否则该用户将不能登录。也可以使用usermod命令修改Shell信息，如下所示：usermods(newshellpath)(username)，详细参数参考usermod-help。18

26、、删除或禁止用户账户用userdel，如果想同时删除该用户的主目录以及其中所有内容，要使用-r开关来递归删除，注意：无法删除已经进入系统的用户，如果想强行完成，需要先killall有关他的进行，然后再运行userdel命令。19、暂时禁止某个账号，可以使用下列方法：1）使用无效的Shell，例如使用usermodsnewshellusername将用户的Shell改为/bin.false。2）使该账户过期，如果使用影子口令，可使用usermodeMM/DD/YYusername命令使该账号过期。如果想禁止所有账号（root除外）的访问，可以创建一个名为/etc/nologin的文件，说明系统暂

27、时不允许访问。注意，必须确认还能用root直接登录才使用这个办法。例如：创建和修改用户账号，使其有一个nologinshell：由于安全原因，有时候需要让你的用户不能登录服务器，一个简单的方法就是配置他们的账号，把登录的shell设置成/sbin/nologin，要修改一个已经存在的账号命令如下：usermods/sbin/nologinusername,也可以创建一个文件/etc/nologin，然后用命令：usermods/etc/nologinusername。如果需要在用户创建时就默认为/sbin/nologin登录，可以用useraddDs/sbin/nologin，这样在使用use

28、radd增加新用户时，就不需用-s指定登录shell了，缺省的登录shell就是/sbin/nologin，这个配置仍然允许用户执行重要的日常任务，比如收发信件、FTP、访问网路共享目录和其他任务，它只是阻止用户登录服务器。20、硬件资源管理1）在linux系统中，对硬件标识的判别依据，Linux对硬件的识别是以芯片组的厂商为依据的，而非硬件的品牌，例如，市场上可以看到各种各样的显卡，其实他们的芯片大多是ATI和NVIDIA的，所有的ATI和NVIDIA的驱动都是ATI和NVIDIA开发出来的。2）在Linux中查看硬件信息的工具：PCI设备查看工具用命令lspci,选项为-b和-v，如果想知

29、道硬件功能更为详细的内容，可以用-v选项，例如查看硬件的irq中断情况。3）存储设备查看和操作工具：主要有：fdisk、parted、cfdisk等，如命令fdiskl。4）系统控制信息查看工具：dmesg是一个显示内核缓冲区系统控制信息的工具，例如系统在启动时的信息会看到/var/log/。dmesgc命令可用来清除缓冲区，下次开机时还会自动生成。5）硬件浏览器：RedHatEnterpriseLinuxAS4自带了一个查看当前硬件配置的图形化浏览器，在应用程序/系统工具/硬件浏览器中可以查看。6）硬件驱动存放的位置，硬件驱动是必须由内核支持的，无论是用户自己安装驱动，还是内核自带的驱动都是

30、如此，硬件驱动如果是直接植入内核的，驱动目录位于：/lib/modules/内核版本/kernel/目录或/lib/modues/内核版本/kernel/drivers目录中。只有驱动在内核中以模块的方法支持的，或者用户自己安装的驱动，驱动目录才会位于/lib/modules/相应的目录下，如果是直接置入内核的，不会出现在/lib/modules驱动相关的目录。7）硬件不被系统支持怎么办？一种是下载驱动自己安装，Linux的驱动大多是开源社区开发的。二是也可能要重新编译内核，主要是按照驱动内部的说明文件进行，如果要重新编译内核，最好先把硬件情况摸清楚。第三章目录服务的配置和应用第四章文件和打印

31、服务的配置与应用第五章DHCP服务的配置与应用1、DHCP是一个基于广播的协议，它工作时要求客户机和服务器进行交互，由客户机通过广播向服务器发起申请IP地址的请求，然后由服务器分配一个IP地址及其他的TCP/IP设置信息。它的操作可以归结为4个阶段：IP租用请求、IP租用提供、IP租用选择和IP租用确认。1）IP租用请求：客户计算机如果设置为自动获取IP地址，DHCP客户机的TCP/IP首次启动时，就要执行DHCP客户程序，检查自己当前是否租用了一个IP地址，如果没有，它就向DHCP请求一个租用。由于该客户并不知道DHCP服务器的地址，所以会用55作为目标地址，源地址使用，在网络上广播一个消息

32、，包含客户计算机的媒体访问控制地址，以及它的NetBIOS名字，以提供DHCP服务器进行分配。2）IP租用提供：当DHCP服务器受到一个来自客户的IP租用请求时，DHCP服务器会根据自己的作用域地址池为该客户分配一个IP地址，将这些IP地址、子网掩码、租用时间等信息，按照DHCP提供的硬件地址发送回DHCP客户机，在这个过程中，DHCP服务器没有对客户计算机进行限制，因此客户机能受到多个IP地址提供的信息。3）IP地址租用选择：如果子网还存在其他DHCP服务器，那么客户机在接收某个DHCP服务器的消息后，它会广播一条包含提供租用的服务器的IP地址的消息，在该子网中通告所有其他DHCP服务器它已

33、经接收了一个地址的提供，其他DHCP服务器在接收到这条消息后，就会撤销为该客户提供的租用。然后把位客户分配的租用地址返回到地址池中，该地址将可以重新作为一个有效地址提供个别的计算机使用。4）IP租用确认：DHCP服务器接收到来自客户的选择消息，如果没有发生例外，它就开始配置过程的最后一个阶段，这个确认阶段由DHCP服务器发送一个DHCPACK包给客户，该包涵盖一个租用期限和客户所请求的所有其他配置信息，至此，完成TCP/IP配置。注意：由于DHCP以来于广播信息，因此在一般情况下，客户机和服务器应该位于同一个网络之内，然而可以设置网络中的路由器转发BootP广播包，使得服务器和客户机可以位于两

34、个不同的网络中，另一个更好的方法是使用DHCP中转计算机。2、DHCP服务器的安装：rpmivhdhcp-3.0.1-12_EL.i386.rpm;rpmivhdhcp-devel-3.0.1-12_EL.i386.rpm，服务的启动关闭和重启：/etc/rc.d/init.d/dhcpdstop;3、DHCP服务的配置：配置文件是/etc/dhcpd.conf，默认情况下，此文件是不存在的，用户必须手工建立该文件，不过系统中有一个该文件的模板，位置是：/usr/share/doc/dhcpd-3.0.1/dhcpd.conf.sample，把这个文件复制到/etc/dhcpd.conf即可。

35、4、/etc/dhcpd.conf参数：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户：ddns-update-style配置DHCP-DNS互动更新模式；default-lease-time指定默认租赁时间的长度，单位为秒；max-lease-time指定最大租赁时间长度；hardware指定网卡接口类型和MAC地址；server-name通知DHCP客户服务器名称；get-lease-hostnamesflag检查客户端用的IP地址；fixed-addressIP分配给客户端一个固定的地址；authritative拒绝不正确的IP地址的要求。5、/etc/dhcpd.co

36、nf中的声明：用来描述网络布局、提供客户的IP地址等;share-network用来告知是否一些子网共享相同的网络；subnet描述一个IP地址是否属于该子网；range起始IP终止IP提供动态分配IP的范围；host主机名称：参考特别的主机；group为一组参数提供声明；allowunknown-clients;denyunknown-client是否动态分配IP给未知的使用者；allowbootp;denybootp是否响应使用者查询；filename开始启动文件的名称，应用于无盘工作站；next-server设置服务器从阴道文件中装入主机名，应用于无盘工作站。6、/etc/dhcpd.c

37、onf中的选项：配置DHCP可选参数，全部用option关键字作为开始：subnet-mask为客户端设定子网掩码；domain-name为客户端指明DNS名字；domain-name-servers为客户端指明DNS服务器IP地址；host-name为客户端指定主机名称；routers为客户端设定默认网关；broadcast-address为客户端设定广播地址；ntp-server为客户端设定网络时间服务器的IP地址；time-offset为客户端设定和格林尼治时间的偏移时间。注意：如果客户端使用的是Windows操作系统，不要为其指定主机名称，即不要选择hostname选项。7、设置IP作

38、用域：设定一个IP地址的范围，当DHCP客户端请求IP地址时，DHCP服务器将从此段范围提取一个尚未使用的IP地址佩给DHCP客户端：subnet网络号netmask子网掩码指定range起始IP终止IP例如：SubnetnetmaskRangedynamic-bootp000;Rangedynamic-bootp5000;8、设置客户端的IP选项：Optionrouters#设置默认网关的IP地址Optionsubnet-mask#设置子网掩码Optionnis-domain“BigE”#设置nis服务器的域名Optiondomain-name“BigE”#设置dhcp客户端的dns域名Op

39、tiondomain-name-servers#设置dns服务器的IPOptionbroadcast-address55#设置dhcp客户端在该IP子网中的广播Default-lease-time3600#设置默认的租约时间长度；Max-lease-time7200#设置最大的租约期限Hostcomputer1HardwareEthernet12:55:56:79:AC:BD;#绑定的网卡地址Fixed-address0#绑定的IP地址9、分配多网段IP地址：在实际应用中可能会遇到在一个比较大的物理网络中存在多个IP子网，而且每个子网中都需要用DHCP服务器的服务来分配IP地址。一种常用的方法

40、是在每个网段中都设一个DHCP服务器，很显然浪费资源；另一方法是使用DHCP的中继代理功能，它允许将无DHCP服务器的子网内的DHCP客户请求转发到其他子网内的一个或多个DHCP服务器。实现方法是在每个子网都设置一台计算机作为DHCP中继代理。网络中的主机将IP地址请求发给中继代理，由中继代理与DHCP服务器联系将获得的IP地址再发给请求的主机。10、设置DHCP中继代理：DHCP的中继代理允许将无DHCP服务的子网内的DHCP和BOOTP请求转发给其他子网内的一个或多个DHCP服务器当某个DHCP客户请求信息时，DHCP中继代理把该请求转发给DHCP中继代理启动时所指定的DHCP服务器。当某

41、个DHCP服务器返回一个回应时，该回应被广播或单播给发送最初请求的网络。除非使用INTERFACES指令在/etc/sysconfig/dhcprelay文件中指定了接口，DHCP中继代理监听所有接口上的DHCP请求，启动DHCP中继代理：servicedhcprelaystart。指定DHCP中继代理：一般情况下，它监听所有接口上的DHCP请求，当然也可以向某个子网指定DHCP中继代理。加入某个DHCP服务器位于网络接口为eth0的子网内，那么就可以用dhcprelay向eth1和eth2连接的子网内提供DHCP服务：dhcprelayieth1ieth2。这里的IP地址所指定的是主机为et

42、h0连接的子网内的DHCP服务器。如果没有-i表示向所有子网提供服务。第9章FTP服务的配置与应用1、FTP的具体工作过程如下：（1）FTP服务器运行FTPd守护进程，等待用户的FTP请求。（2）用户运行FTP命令，请求FTP服务器为其服务。如HYPERLINKftp:/ftp79ftp79（3）vsFTPd守护进程用户的FTP请求后，派生出子进程FTP与用户进行FTP交互，建立文件传输控制连接，使用TCP端口21.（4）用户输入FTP子命令，服务器接收子命令，如果命令正确，双方各派生一个数据传输进程FTP-DATA建立数据连接，使用TCP端口20，进行数据传输。（5）本次子命令的数据传输完，

43、拆除数据连接，结束FTP-DATA进程。（6）永固继续输入FTP子命令，重复（4）（5）过程，直至用户输入quit命令，双方拆除控制连接，结束文件传输，结束FTP进程。2、FTP的主动模式和被动模式主动模式即standard模式，也称PORT方式，另一种为被动模式，即passive模式，也称PAVS方式。主动模式FTP的客户端发送PORT命令到FTPserver，被动模式FTP的客户端发送PASV命令道FTPServer。它们的工作原理如下：主动模式FTP客户端首先和FTPServer的TCP21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT

44、命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP20端口发送数据。FTPserver必须和客户端建立一个新的连接用来传送数据。被动模式在建立控制通道的时候和主动模式类似。当客户端通过这个通道发送PASV命令的时候，FTPserver打开位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTPserver将通过这个端口进行数据的传送。这个时候FTPserver不再需要建立一个新的和客户端之间的连接。注意：主动模式中数据连接是服务器端发起的（客户端数据端口已知），所以称为主动模式，服务器建立的新连接；被动模式中数据连接是客户端发起的（服

45、务器端的数据传输端口已知），所以称为被动模式，由客户端建立新的连接。存在的问题：很多防火墙在设置的时候都不允许接收外部发起的连接，所以FTP的主动模式在内部网络的机器通过防火墙出去的时候受到了限制，因为从服务器的TCP20无法和内部网络的客户端建立一个新的连接，造成无法工作。当然也可以设置成功，首先要创建一条规则就是允许内部的IP连接外部的IP的21端口；第二条就是禁止外部IP的TCP20端口连接内部IP的小于1024的端口，这条是为了防止外部连接内部的常规端口；第三条验证ACK是否等于1.如果安全的配置非常困难，这个时候就要用被动模式，但是管理员也可能不想使用PASV模式，因为这个时候FTP

46、Server会开放一个随机的高端口，尽管在IIS4和IIS5里面的端口范围是1024-5000，但是许多FTPServer的端口范围达到了1024-65535，这个时候在这个主动开放的随机端口上是有完全的访问权限的。如果对安全要求较高，建议采用主动模式。主动模式被动模式3、配置文件的路径为/etc/vsftpd/vsftpd.conf，其中可以配置选项，如anonymous_enable=YES，表示允许匿名登录，每个选项设置为一行，“=”两边不能留空白符；FTP服务可以通过/etc/init.d/vsftpdstart或servicevsftpdstart启动；也可以设置自动启动：执行nts

47、ysv命令自动服务配置程序，找到vsftpd服务，按空格键在其前面加上“*”号，然后按Tab键，选择Ok即可。4、vsftpd配置：配置文件在/etc/vsftpd/vsftpd.conf1）监听地址与控制端口：listen_address=ipaddress在vsftpd使用独立（standalone）模式（就是由用户独立控制vsftpd的运行，它的启动不经过系统xinetd的连接中转，这样的服务尽可能快的响应客户端的请求，适合于FTP负载压力较大的情况）下有效。此参数定义了在主机的哪个IP地址上监听FTP请求，即在哪个IP地址上提供FTP服务。对于只有一个IP地址的主机，不需此参数，对于多

48、址主机，若不设置此参数，则监听所有IP地址，默认值为无。Listen_port=port_value表示vsftpd服务器监听的端口号，默认值为21。2）FTP模式与数据端口：模式分为主动模式（PORT）和被动模式（PASV），主动模式中有以下几个参数：port_enable=YES|NO表示是否为主动模式；connect_from_port_20=YES|NO表示控制以主动模式进行数据传输时是否使用20端口（FTP-DATA）。FTP_data_port=portnumber表示服务器端要使用哪个端口来传输数据，默认为20；port_promiscuous=YES|NO表示是否取消主动安全检

49、查，默认为NO，为YES时，取消主动安全检查。该检查确保外出的数据只能连接到客户端上，小心打开此选项。被动模式中有以下几个参数：pasv_enable=YES|NO表示是否为被动模式；pasv_min_port=portnumber表示建立数据传输可以使用port范围的下界和上界，0表示任意，把端口范围设在比较高的一段范围内，比如50000-60000，将有助于安全性的提高；pasv_promiscuous=YES|NO为YES时关闭被动模式的安全检查。该检查确保数据连接和控制连接是否来自同一个IP地址，小心打开此项，此选项唯一的合理的用法是存在于由安全隧道方案构成的组织中；pasv_addr

50、ess=IPaddress为一个数字IP地址，作为被动命令的响应，默认为none，即地址是从呼入的连接套接字中获取。3）ASCII模式：vsftpd默认是禁止使用ASCII传输模式的。下面将控制器开启：ascii_upload_enable=YES|NO是否允许使用ascii模式上传文件，默认为NO；ascii_download_enable=YES|NO是否允许使用ascii模式下载文件。4）超时选项：idle_session_timeout=time_value表示空闲用户会话的超时时间，若超出这段时间没有数据的传送或是指令的输入，则会强迫断线。单位为秒，默认为300；data_conne

51、ction_timeout=time_value空闲数据连接的超时时间，默认为300；accept_timeout=numericalvalue接受建立链接的超时设定，默认为60；connect_timeout=numericalvalue响应主动方式的数据链接的超时设定，默认为60。以上两个选项针对客户端的，将使客户端空闲1分钟后自动中断连接，并在中断1分钟后自动激活连接。5）负载控制：max_clients=numericalvalue此参数在vsftpd使用独立模式下有效。定义了FTP服务器最大的并发链接数，当超过此连接数时，服务器拒绝客户端的连接。默认为0没有限制；max_per_ip

52、=numericalvalue在vsftpd使用独立模式下有效，定义每个IP地址最大的并发连接数目。超过时拒绝连接；anon_max_rate=value设定匿名用户最大数据传输速度value,以Bytes/s为单位；local_max_rate=value设定用户的最大数据传输速度value，对所有用户都生效，也可以在用户个人配置文件中使用此选项，以指定特定用户可获得的最大数据传输速率。6）匿名用户：anonymous_enable=YES|NO控制是否允许匿名用户登录；FTP_username=匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为FTP；no_anon_pas

53、sword=YES|NO控制匿名用户登录时是否需要密码；deny_email_enable=YES|NO默认为NO，当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的E-mail进行登录时将被拒绝，这对阻击某些DOS攻击有效，当此参数生效时，需追加banned_email_file参数；banned_email_file=/etc/vsftpd/banned_emails；anon_root=设定匿名用户的根目录，即匿名用户登录后，被定为到此目录下，主配置文件中默认无此项，默认值为/var/ftp/；anon_world_readable_only=YES|NO控

54、制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统；anon_upload_enable=YES|NO控制是否允许匿名用户上传文件，除了这个参数外，匿名用户要能上传文件，还需要两个条件：write_enable=YES；在文件系统上，FTP匿名用户对某个目录有写权限；anon_mkdir_write_enable-YES|NO控制是否允许匿名用户创建新目录，当然在文件系统上，FTP匿名用户必须对新目录的上层目录拥有写权限；anon_other_write_enable=YES|NO控制匿名用户是否拥有除了上传和新建目录之外的其

55、他权限；chown_uploads=YES|NO是否修改匿名用户所上传文件的所有权，YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，有chown_username参数指定；chown_username=whoever指定拥有匿名用户上传文件所有权的用户。7）本地用户：在使用FTP服务的用户中，出了匿名用户外，还有一类在FTP服务器所属主机上拥有账号的用户。Vsftpd称此类用户为本地用户（localusers）,等同于其他FTP服务器中的real用户。Local_enable=YES|NO控制vsftpd所在的系统的用户是否可以登录vsftpd；local_root=定义所有

56、本地用户的根目录。当本地用户登录时，将更换到此目录下；user_config_dir=定义用户个人配置文件所在的目录，默认为无，用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpd.conf相同，例如定义user_config_dir=/etc/vsftpd/userconf，并且主机上有用户kang,则可以在user_config_dir的目录新增名为kang的两个文件。当用户kang登录时，vsftpd则会读取user_config_dir下kang则个文件中的设定值，应用于kang。8）虚拟用户：guest_enable=YES|NO若是启动这项功能，所有非匿名登录者

57、都是为guest；guest_username=定义vsftpd的guest用户在系统中的用户名，默认为FTP。9）用户登录控制：pam_service_name=vsftpd指出vsftpd进行PAM认证时所使用的PAM配置文件名，默认为vsftpd，默认PAM配置文件是/etc/pam.d/vsftpd；/etc/vsftpd.ftpusersvsftpd禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pam.d/vsftpd中默认设置的；userlist_enable=YES|NO此选项激活后，vsftpd将读取userlist_file参数所指定的文件中的用户列表。当列表

58、中的用户登录FTP服务器时，改用户在提示输入密码之前就被禁止了。即该用户名输入后，vsftpd查到该用户名在列表，vsftpd就直接禁止掉该用户，不会再进行询问密码等后续步骤，默认为NO；userlist_file=/etc/vsftpd/user_list指出userlist_enable选项生效后才可用；userlist_deny=YES|NO决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable选项启动后才生效，YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服

59、务器；tcp_wrappers=YES|NO在vsftpd中使用TCP_Wrappers远程访问控制机制，默认为YES。10）目录访问控制：chroot_list_enable=YES|NO锁定某些用户在自家目录中，即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录（及其子目录）下。具体的用户在chroot_list_file参数所指定的文件中列出；chroot_list_file=/etc/vsftpd/chroot_list指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户，通常该文件时/etc/vsftpd/chroot_list；chroot_local_users

60、=YES|NO将本地用户锁定在自家目录中，当此项激活时chroot_list_enable和chroot_local_users参数的作用将发生变化，chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数激活后，可能带来安全上的冲突，特别是当用户具有上传、Shell访问等权限时；passwd_chroot_enable激活时，与chroot_local_user配合，chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。11）文件操作控制：hide_ids=YES|NO是否隐藏文件的所有者和组信息，若为