Linux网络操作系统教程课件 第8章 常用服务器配置与管理

第8章

常用服务器配置与管理【教学目标】掌握Samba服务器的安装、配置与管理。掌握FTP服务器的安装、配置与管理。掌握DHCP服务器的安装、配置与管理。掌握DNS服务器的安装、配置与管理。掌握Apache服务器的安装、配置与管理。【素质目标】通过介绍服务器配置，培养学生精益求精的工匠精神和技术创新能力，鼓励学生在实践中不断寻求高效、安全、节能的解决方案。教育学生严格遵守国家法律法规和行业规范，在服务器配置与管理过程中高度重视信息安全，树立合法、合规使用信息技术资源的观念，降低信息安全风险。培养学生高度的专业责任感，理解服务器配置与管理对于保障信息系统稳定运行、维护网络安全以及支撑社会公共服务的重要性。8.1配置与管理Samba服务器8.1.1Samba简介

服务器信息块（ServerMessageBlock，SMB）协议是一种在局域网中共享文件和打印机的通信协议，它为局域网内的不同操作系统的计算机之间提供了文件及打印机等资源的共享服务。

SMB协议是客户机/服务器协议，客户机通过该协议可以访问服务器中的共享文件系统、打印机及其他资源。Samba是一组使Linux支持SMB协议的软件包，基于GPL发行，源代码完全公开，可以将其安装到Linux操作系统中，实现Linux操作系统和Windows操作系统之间的相互通信。Samba服务器的网络环境如图8.1所示。图8.1

Samba服务器的网络环境1．Samba的功能Samba的功能强大，这与其基于SMB协议有关。SMB协议不仅提供文件和打印机共享功能，还支持认证、权限设置功能。早期的SMB协议运行于NetBT（NetBIOSoverTCP/IP）协议上，使用UDP的137、138端口及TCP的139端口；后期的SMB协议经过开发后，可以直接运行于TCP/IP上，没有额外的NetBT层，使用TCP的445端口。Samba服务器作为网络中的一台服务器，其主要功能体现在资源共享上，文件共享和打印机共享是Samba服务器的主要功能。为了方便文件共享和打印机共享，Samba服务器还实现了相关控制和管理功能。具体来说，Samba服务器完成的功能有以下几种。（1）共享目录：在局域网中共享某些文件和目录，使同一个网络中的Windows用户可以在“网上邻居”窗口中访问该目录。（2）目录权限：决定一个目录可以由哪些用户访问，具有哪些访问权限，Samba服务器可以设置一个目录由一个用户、某些用户、组和所有用户访问。（3）共享打印机：在局域网中共享打印机，使局域网和其他用户可以使用Linux操作系统的打印机。（4）设置打印机使用权限：决定哪些用户可以使用打印机。（5）提供SMB客户机功能：在Linux中使用类似FTP的方式访问Windows的计算机资源（包括使用Windows中的文件及打印机）。2．Samba的特点及作用特点：可以实现跨平台文件传输，并支持在线修改文件内容。作用：共享文件与打印机服务；提供用户登录Samba主机时的身份认证功能；进行Windows网络中的主机名解析操作。8.1.2Samba服务器的安装、启动与停止1．Samba服务器的安装

在安装Samba服务器之前，建议使用rpm-qa|grepsamba命令检测系统是否安装了Samba服务器相关软件包。2．Samba服务器的启动、停止[root@localhost～]#systemctlstartsmb[root@localhost～]#systemctlenablesmbCreatedsymlinkfrom/etc/systemd/system/multi-user.target.wants/smb.serviceto/usr/lib/systemd/system/smb.service.[root@localhost～]#systemctlrestartsmb[root@localhost～]#systemctlstopsmb[root@localhost～]#systemctlreloadsmb3．Samba服务器的搭建流程和工作流程

基本的Samba服务器的搭建流程主要分为以下5个步骤。（1）编辑主配置文件smb.conf，指定需要共享的目录，并为共享目录设置共享权限。（2）在smb.conf文件中指定日志文件的名称和存放目录。（3）设置共享目录的本地系统权限。（4）重新加载配置文件或重新启动SMB服务器，使配置生效。（5）关闭防火墙，同时设置SELinux为允许。Samba服务器的工作流程如图8.4所示，具体说明如下。（1）客户机请求访问Samba服务器中的Share目录，如图8.4中的①所示。（2）Samba服务器接收请求后，查询主配置文件smb.conf，查看其是否共享了Share目录。如果共享了此目录，则查看客户机是否有访问权限，如图8.4中的②所示。（3）Samba服务器会将本次访问的信息记录在日志文件中，日志文件的名称和存放目录需要用户设置，如图8.4中的③所示。（4）如果客户机有访问权限，则允许客户机进行访问，如图8.4中的④所示。图8.4

Samba服务器的工作流程4．主配置文件Samba服务的配置文件一般位于/etc/samba目录下，主配置文件名为smb.conf。（1）使用ls-l/etc/samba命令，查看smb.conf文件的属性，如图8.5所示。使用cat/etc/samba/smb.conf命令，查看smb.conf文件的内容，如图8.6所示。

图8.5

查看smb.conf文件的属性

图8.6

查看smb.conf文件的内容（2）共享定义（ShareDefinition）字段用于设置对象为共享目录或打印机。如果想发布共享资源，则需要对共享定义部分进行配置。共享定义字段提供的功能非常丰富，设置灵活。①

设置共享名。②

共享资源描述。③

共享路径。④

设置匿名访问。⑤

设置访问用户。⑥

设置目录只读⑦

设置过滤主机。⑧

设置目录可写。⑨

设置用户名或组名。5．Samba服务器的日志文件和密码文件（1）Samba服务器的日志文件。

日志文件对于Samba服务器非常重要，它存储着客户机访问Samba服务器的信息，以及Samba服务器的错误提示信息等，可以通过分析日志文件来解决客户机访问和服务器维护等问题。

在/etc/samba/smb.conf文件中，logfile为设置Samba日志的字段。Samba服务器的日志文件默认存放在/var/log/samba下，其会为每个连接到Samba服务器的计算机分别建立一个日志文件。（2）Samba服务器的密码文件。Samba服务器发布共享资源后，客户机访问Samba服务器时，需要提交用户名和密码进行身份验证，验证合格后才可以登录。

Samba服务器为了实现用户身份验证功能，将用户名和密码信息存放在/etc/samba/smbpasswd文件中。在客户机访问时，将用户提交的资料与smbpasswd文件存放的信息进行比对。如果相同，且Samba服务器其他安全设置允许，则客户机与Samba服务器的连接才能建立成功。Samba账号并不能直接建立，而需要先建立同名的Linux操作系统账号。例如，要建立一个名为user01的Samba账号，则Linux操作系统中必须存在一个同名的账号。Samba中添加账号的命令为smbpasswd。其格式如下。smbpasswd-a用户名8.1.3Samba服务器配置实例1．实例配置2．结果测试Samba服务器无论是部署在Windows操作系统中，还是部署在Linux操作系统中，其访问步骤是一样的。下面假设Samba服务器部署在Linux操作系统中，并通过Windows操作系统来访问Samba服务器。

Samba服务器和Windows客户机的主机名、操作系统及IP地址如表8.1所示。主机名操作系统IP地址Samba服务器：CentOS8-1CentOS800Windows客户机：Windows10-1Windows10表8.1

Samba服务器和Windows客户机的主机名、操作系统及IP地址（1）进入Windows客户机桌面，按“Win+R”组合键，弹出“运行”对话框，输入Samba服务器的IP地址，如图8.7所示。图8.7“运行”对话框（2）单击“确定”按钮，弹出“Windows安全中心”对话框，输入用户名和密码，如图8.8所示。（3）单击“确定”按钮，打开Samba服务器共享目录窗口，选择目录即可进行相应操作，如图8.9所示。图8.8“Windows安全中心

”对话框

图8.9

Samba服务器共享目录窗口

8.2配置与管理FTP服务器8.2.1FTP简介

文件传送协议（FileTransferProtocol，FTP）是一种在互联网中进行文件传输的协议，基于客户机/服务器模式，默认使用20、21端口，其中，20端口（数据端口）用于数据传输，21端口（命令端口）用于接收客户机发出的FTP相关命令与参数。

FTP服务器普遍部署于内网中，具有容易搭建、方便管理的特点。vsftpd是非常安全的FTP服务器进程，是各种Linux发行版中最主流的、完全免费的、开放源代码的FTP服务器程序，其优点是小巧轻便、安全易用、稳定高效、可伸缩性好、可限制带宽、可创建虚拟用户、支持IPv6、传输速率高，以及能够满足企业跨部门、多用户的使用需求等。vsftpd基于GPL发布，在中小型企业中得到了广泛应用。

vsftpd基于虚拟用户方式，访问验证更加安全，可以快速上手；vsftpd基于MySQL数据库进行安全验证，实现了多重安全防护。CentOS8默认未启用FTP服务器，必须手动启用。FTP服务器是遵循FTP在互联网中提供文件存储和访问服务的主机；FTP客户机则是向服务器发送连接请求，以建立文件传送链路的主机。FTP有以下两种工作模式。主动模式：FTP服务器主动向客户机发起连接请求。被动模式：FTP服务器等待客户机发起连接请求，这是FTP的默认工作模式。8.2.2FTP的工作原理FTP的目标是提高文件的共享性，提供非直接使用远程计算机的功能，使存储介质向用户透明、可靠、高效地传送数据。

FTP能操作任何类型的文件且不需要进一步处理。但是，FTP有着极高的时延，从开始请求到第一次接收请求数据之间的时间非常长，且必须完成一些冗长的登录过程。FTP在客户机与服务器之间建立了两个连接。开发任何基于FTP的客户机软件都必须遵循FTP的工作原理。FTP的独特优势是它在两台通信的主机之间使用了两条TCP连接：一条是数据连接，用于传送数据；另一条是控制连接，用于传送控制信息（命令和响应）。这种将命令和数据分开传送的模式大大提高了FTP的效率。而其他客户机/服务器应用程序一般只有一条TCP连接。FTP服务器的具体工作流程如下。（1）客户机向服务器发出连接请求，同时客户机的操作系统动态地打开一个大于1024的端口（如3012端口），等候服务器连接。（2）若FTP服务器在其21端口接收到该请求，则会在客户机的3012端口和服务器的21端口之间建立一个FTP连接。（3）当需要传输数据时，FTP客户机会动态地打开一个大于1024的端口（如3013端口）并连接到服务器的20端口，在这两个端口之间进行数据的传输。当数据传输完毕后，这两个端口会自动关闭。（4）当FTP客户机断开与FTP服务器的连接时，客户机会自动释放分配的端口。8.2.3vsftpd服务器的安装、启动与停止1．vsftpd服务器的安装

查看当前YUM仓库源文件，安装vsftpd、FTP服务，如图8.10～图8.12所示。图8.10

查看当前YUM仓库源文件2．vsftpd服务器的启动、停止

安装完vsftpd服务器后，下一步就是启动该服务。vsftpd服务器可以独立启动或被动启动，在CentOS8中，默认以独立方式启动。

重新启动vsftpd服务器、随系统启动vsftpd服务器、开放防火墙、开放SELinux，执行命令如下。图8.11

安装vsftpd服务图8.12

安装FTP服务3．查看FTP服务是否启动

执行相关操作，查看FTP服务是否启动，如图8.13所示。图8.13

查看FTP服务是否启动8.2.4vsftpd服务器的配置文件vsftpd服务器的配置主要通过以下几个文件来完成。1．主配置文件vsftpd服务器程序的主配置文件（/etc/vsftpd/vsftpd.conf）中的内容有127行，但其中大多数行在开头都添加了“#”，从而成为注释，目前没有必要在注释上花费太多的时间。可以使用grep–v命令，过滤并反选出不包含“#”的行（即过滤掉所有的注释），并将过滤后的行通过输出重定向符写回原始的主配置文件。参数功能说明listen=[YES|NO]是否以独立运行的方式监听服务listen_address=IP地址设置要监听的IP地址listen_port=21设置FTP服务器的监听端口download_enable＝[YES|NO]是否允许下载文件userlist_enable=[YES|NO]、

userlist_deny=[YES|NO]设置允许操作和禁止操作的用户列表max_clients=0最大客户机连接数，为0时表示不限制max_per_ip=0同一个IP地址的最大连接数，为0时表示不限制anonymous_enable=[YES|NO]是否允许匿名用户访问anon_upload_enable=[YES|NO]是否允许匿名用户上传文件anon_umask=022匿名用户上传文件的umask值anon_root=/var/ftp匿名用户的FTP根目录anon_mkdir_write_enable=[YES|NO]是否允许匿名用户创建目录anon_other_write_enable=[YES|NO]是否开放匿名用户的其他写入权限（包括重命名、删除等操作权限）anon_max_rate=0匿名用户的最大传输速率（单位为B/s），为0时表示不限制local_enable=[YES|NO]是否允许本地用户登录FTP服务器local_umask=022本地用户上传文件的umask值local_root=/var/ftp本地用户的FTP根目录chroot_local_user=[YES|NO]是否将用户权限锁定在FTP目录下，以确保安全local_max_rate=0本地用户最大传输速率（单位为B/s），为0时表示不限制表8.2

vsftpd服务器程序的主配置文件中常用的参数及其功能说明2．/var/ftp目录/var/ftp目录是vsftpd提供服务的文件集散地，它包括一个/pub子目录。在默认配置下，所有的目录都只有读取权限，只有用户root有写入权限。3．/etc/vsftpd/ftpusers文件

所有位于/etc/vsftpd/ftpusers文件内的用户都不能访问vsftpd服务，为安全起见，这个文件中默认包括root、bin和daemon等系统账号。查看/etc/vsftpd/ftpusers文件的内容，如图8.14所示。图8.14

查看/etc/vsftpd/ftpusers文件的内容4．/etc/vsftpd/user_list文件/etc/vsftpd/user_list文件中包含的用户有可能是被禁止访问vsftpd服务器的，也有可能是允许访问vsftpd服务器的，

这主要取决于vsftpd的主配置文件/etc/vsftpd/vsftpd.conf中的userlist_deny参数是设置为“YES”（默认值）还是“NO”。（1）当userlist_deny=NO时，仅允许文件列表中的用户访问FTP服务器。（2）当userlist_deny=YES时，禁止文件列表中的用户访问FTP服务器。5．/etc/pam.d/vsftpd文件vsftpd的可插拔认证模块（PluggableAuthenticationModules，PAM）的配置文件为/etc/pam.d/vsftpd，其主要用来加强vsftpd服务器的用户认证功能。8.2.5vsftpd服务器配置实例1．vsftpd的认证模式vsftpd作为更加安全的传输文件的服务程序，允许用户用以下3种认证模式登录FTP服务器。（1）匿名开放模式。匿名开放模式是3种认证模式中最不安全的认证模式，任何用户都可以不经过密码验证而直接登录FTP服务器。（2）本地用户模式。本地用户模式是通过Linux操作系统本地的账户及密码信息进行认证的模式，比匿名开放模式更安全，配置起来也很简单。但是如果黑客破解了账户的信息，则可以畅通无阻地登录FTP服务器，从而完全控制服务器。（3）虚拟用户模式。虚拟用户模式是3种认证模式中最安全的认证模式，它需要为FTP服务器单独建立用户数据库文件，虚拟出用来进行密码验证的账户信息。实际上，这些账户信息在服务器系统中是不存在的，仅供FTP服务程序认证使用。这样，即使黑客破解了账户信息也无法登录服务器，从而有效缩小了黑客的破坏范围并降低了其破坏的影响。2．匿名用户登录的权限参数权限参数功能说明anonymous_enable=YES允许使用匿名开放模式anon_umask=022匿名用户上传文件的umask值anon_upload_enable=YES允许匿名用户上传文件anon_mkdir_write_enable=YES允许匿名用户创建目录anon_other_write_enable=YES允许匿名用户修改目录名或删除目录表8.3

匿名用户登录的权限参数及其功能说明3．配置匿名用户登录FTP服务器实例主机名操作系统IP地址FTP服务器：CentOS8-1CentOS800Windows客户机：Windows10-1Windows10表8.4

FTP服务器和Windows客户机的主机名、操作系统及IP地址图8.15

设置防火墙放行FTP服务器

在Windows客户机的资源管理器中输入00，进入/pub目录，新建一个目录，系统提示出错，如图8.16所示。图8.16

系统提示出错主机名操作系统IP地址FTP服务器：CentOS8-1CentOS800Linux客户机：CentOS8-2CentOS801表8.5

FTP服务器和Linux客户机的主机名、操作系统及IP地址图8.17

测试结果4．配置本地用户登录FTP服务器实例（1）FTP服务器配置要求。（2）需求分析。（3）方案配置。5．配置虚拟用户登录FTP服务器实例

FTP服务器的搭建工作并不复杂，但需要按照服务器的用途合理地规划、配置。如果FTP服务器并不对互联网中的所有用户开放，则可以关闭匿名访问功能，启用本地账号或者虚拟账号的认证机制。但在实际操作中，如果使用本地账号访问，则FTP用户在拥有服务器真实用户和密码的情况下，会对服务器产生潜在的危害。如果FTP服务器设置不当，则用户有可能使用本地账号进行非法操作。因此，为了FTP服务器的安全，可以使用虚拟账号认证方式，即将虚拟的账号映射为服务器的本地账号，客户机使用虚拟账号访问FTP服务器。

要求：使用虚拟用户user01、user02登录FTP服务器，访问目录/var/ftp/vuser；用户只能查看文件，不能对文件进行上传、修改等操作。

虚拟用户的配置主要有以下几个步骤。（1）创建用户数据库。（2）配置PAM文件。（3）创建虚拟账号对应的Linux操作系统账号。（4）修改主配置文件/etc/vsftpd/vsftpd.conf。（5）开放防火墙和SELinux，重启FTP服务。（6）在Linux客户机上进行相关测试。8.3配置与管理DHCP服务器

动态主机配置协议（DynamicHostConfigurationProtocol，DHCP）是一种应用层协议。当将客户机IP地址设置为动态获取时，DHCP服务器会根据DHCP为客户机分配IP地址，使得客户机能够利用此IP地址联网。8.3.1DHCP简介DHCP采用了客户机/服务器模式，使用UDP传输，使用67、68端口，从DHCP客户机到DHCP服务器的报文使用目的端口67，从DHCP服务器到DHCP客户机的报文使用源端口68。

其工作过程如下：首先，客户机以广播的形式发送一个DHCPDiscover报文，用来发现DHCP服务器；其次，DHCP服务器接收到客户机发送来的Discover报文，单播一个DHCPOffer报文来回复客户机，DHCPOffer报文包含IP地址和租约信息；再次，客户机收到服务器发送的DHCPOffer报文，以广播的形式向DHCP服务器发送DHCPRequest报文，用来请求服务器将该IP地址分配给它，之所以要广播发送，是因为要通知其他DHCP服务器，此客户机已经接收一台DHCP服务器的信息了，不会再接收其他DHCP服务器的信息；最后，DHCP服务器接收到DHCPRequest报文，以单播的形式发送DHCPACK报文给客户机，如图8.18所示。图8.18

DHCP工作过程DHCP租期更新：当客户机的租期剩下50%时，客户机会向DHCP服务器单播一个DHCPRequest报文，请求续约，DHCP服务器接收到DHCPRequest报文后，会单播一个DHCPACK报文表示延长租期。DHCP重绑定：在客户机的租期超过50%且原先的DHCP服务器没有同意客户机续约IP地址后，当客户机的租期只剩下12.5%时，客户机会向网络中其他的DHCP服务器发送DHCPRequest报文，请求续约，如果其他服务器有关于客户机当前IP地址的信息，则单播一个DHCPACK报文回复客户机以续约；如果没有该信息，则回复一个DHCPNAK报文。此时，客户机会申请重新绑定IP地址。IP地址的释放：当客户机租期已满且还未收到DHCP服务器的回复时，会停止使用该IP地址；当客户机租期未满但不想再使用DHCP服务器提供的IP地址时，会发送一个Release报文，告知DHCP服务器清除相关的租约信息，释放该IP地址。DHCP有以下3种分配IP地址的方式。（1）手动分配。客户机的IP地址是由网络管理员指定的，DHCP服务器只是将指定的IP地址告知客户机。（2）自动分配。DHCP服务器为客户机指定一个永久的IP地址，一旦客户机成功从DHCP服务器租用到该IP地址，就可以永久地使用该IP地址。（3）动态分配。DHCP服务器给客户机指定一个具有时间限制的IP地址，在时间到期或客户机明确表示放弃后，该IP地址才可以被其他客户机使用。DHCP服务器具有以下功能。（1）可以给客户机分配永久的IP地址。（2）保证任何IP地址在同一时刻只能由一台客户机使用。（3）可以与那些用其他方法获得IP地址的客户机共存。（4）可以向现有的无盘客户机分配动态IP地址。8.3.2DHCP服务器的安装、启动与停止1．DHCP服务器的安装图8.19

使用yum命令安装DHCP服务器2．DHCP服务器的启动、停止命令功能说明systemctlstartdhcpd.services启动DHCP服务器，dhcpd.services可简写为dhcpdsystemctlrestartdhcpd.services重启DHCP服务器（先停止再启动）systemctlstopdhcpd.services停止DHCP服务器systemctlreloaddhcpd.services重新加载DHCP服务器systemctlstatusdhcpd.services查看DHCP服务器的状态systemctlenabledhcpd.services设置DHCP服务器为开机自动启动systemctllist-unit-files|grepdhcpd.services查看DHCP服务器是否为开机自动启动表8.6

DHCP服务器启动和停止命令及其功能说明8.3.3DHCP服务器的主配置文件

主配置文件dhcpd.conf中通常包括3部分内容，即参数、声明、选项。参数功能说明ddns-update-style配置DHCP-DNS互动更新模式default-lease-time指定默认租赁时间，单位是smax-lease-time指定最大租赁时间，单位是shardware指定网卡接口类型和MAC地址server-name设置DHCP服务器名称get-lease-hostnamesflag检查客户机使用的IP地址fixed-addressip分配给客户机一个固定的IP地址authoritative拒绝不正确的IP地址的要求表8.7

主配置文件dhcpd.conf中使用的参数及其功能说明声明功能说明shared-network是否存在子网络共享相同网络subnet描述一个IP地址是否属于该子网络range提供动态分配IP地址的范围host主机名称，配置相应的主机group为一组参数提供声明allowunknown-clients；denyunknown-client是否动态分配IP地址给未知的用户allowbootp；denybootp是否响应激活查询allowbooting；denybooting是否响应用户查询filename开始启动文件的名称，应用于无盘工作站next-server设置服务器从引导文件中装入主机名，应用于无盘工作站表8.8

主配置文件dhcpd.conf中使用的声明及其功能说明选项功能说明subnet-mask为客户机设置子网掩码domain-name为客户机设置DNS名称domain-name-servers为客户机设置DNS服务器的IP地址host-name为客户机设置主机名称routers为客户机设置默认网关broadcast-address为客户机设置广播地址ntp-server为客户机设置网络时间服务器的IP地址time-offset客户机设置与格林尼治时间的偏移时间，单位是s表8.9

主配置文件dhcpd.conf中使用的选项及其功能说明8.3.4DHCP服务器配置实例1．DHCP服务器配置实例需求分析图8.20

DHCP网络拓扑结构2．配置实例（1）在NAT模式下，VMnet8虚拟网卡默认启用了DHCP服务。为了保证后续测试顺利进行，这里要先关闭VMnet8的DHCP服务，如图8.21所示。图8.21

关闭VMnet8的DHCP服务（2）修改DHCP主配置文件。（3）查看DHCP服务的状态信息，如图8.22所示。图8.22

查看DHCP服务的状态信息（4）在Windows客户机上验证DHCP服务，在“Internet协议版本4(TCP/IPv4)属性”对话框中，选中“自动获得IP地址”单选按钮，如图8.23所示。在Windows命令行窗口中，先使用ipconfig/release命令释放IP地址，再使用ipconfig/renew命令重新获取IP地址，如图8.24所示。

图8.23

选中“自动获得IP地址”单选按钮

图8.24

释放和重新获取IP地址

在Linux客户机上验证DHCP服务，配置网卡相关信息，配置BOOTPROTO=dhcp，其他信息保持默认设置，如图8.25所示。

在Linux客户机上查看获取的IP地址信息，如图8.26所示。图8.25

配置网卡相关信息

图8.26

在Linux客户机上查看获取的IP地址信息8.4配置与管理DNS服务器

域名系统（DomainNameSystem，DNS）是对域名和与之对应的IP地址进行转换的服务器系统。DNS中保存了一张域名和与之对应的IP地址表，以解析消息的域名。域名是Internet中某一台计算机或某一个计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。域名是由一串用点分隔的名称组成的，通常包含组织名，且一般包括两三个字母的扩展名，以指明组织的类型或该域名所在的国家或地区。8.4.1DNS简介1．主机名和域名IP地址是主机的身份标识。DNS的域名空间是分级的。2．DNS的工作原理

在DNS域名空间结构中，根域位于最顶层，管理根域的DNS服务器称为根域服务器，顶级域位于根域的下一层，常见的顶级域有“.com”“.edu”“.org”“.gov”“.net”“.pro”，以及代表国家和地区的“.cn”“.jp”等。

顶级域服务器负责管理顶级域名的解析，在顶级域服务器下面还有二级域服务器等，假如把解析“”的任务交给根域服务器，则根域服务器并不会直接返回这个主机名的IP地址，因为根域服务器只知道各个顶级域服务器的地址，它把解析“.cn”顶级域名的权限“授予”其中一台顶级域服务器（假设是服务器A）。

如果根域服务器收到的请求中包括“.cn”顶级服务器的地址，则这个过程会一直继续下去，直到有一台负责处理“.lncc.”的服务器直接返回“”的IP地址。在这个过程中，DNS把域名的解析权限层层“授予”下一级DNS服务器，这种基于授权的域名解析就是DNS的分级管理机制，又称区域委派。DNS的查询过程如下。（1）当用户在浏览器的地址栏中输入域名访问该网站时，操作系统会先检查本地的hosts文件中是否有这个网址映射关系。如果有，则先调用这个网址映射关系，完成域名解析。

（2）如果hosts文件中没有这个网址的映射关系，则查找本地DNS解析器缓存，查看其中是否有网址映射关系。如果有，则直接返回，完成域名解析。

（3）如果hosts文件与本地DNS解析器缓存中都没有对应的网址映射关系，则查找TCP/IP参数中设置的首选DNS服务器（称为本地DNS服务器）。此服务器收到查询命令时，如果要查询的域名包含在本地配置区域文件中，则返回解析结果给客户机，完成域名解析。此解析具有权威性。

（4）如果要查询的域名未由本地DNS服务器解析，但该服务器已缓存了此网址映射关系，则调用这个网址映射关系，完成域名解析。此解析不具有权威性。

（5）如果本地DNS服务器的本地区域文件和缓存解析都失效，则根据本地DNS服务器的设置（是否设置转发器）进行查询。8.4.2DNS服务器的安装、启动与停止

在Linux操作系统中架设DNS服务器通常使用伯克利互联网名称域（BerkeleyInternetNameDomain，BIND）程序来实现，其守护进程是named。BIND能够运行在当前大多数的操作系统平台上。目前，BIND由互联网系统协会（InternetSystemsConsortium，ISC）负责开发和维护。1．DNS服务器的安装图8.27

使用yum命令安装DNS服务器2．DNS服务器的启动、停止图8.28

查询当前DNS服务器的状态信息8.4.3DNS服务器的配置文件1．全局配置文件2．主配置文件3．区域文件DNS服务器提供域名解析服务的关键是区域文件。区域文件和传统的/etc/hosts文件类似，记录了域名和IP地址的对应关系，但是区域文件的结构更复杂，功能也更强大。/var/named目录下的named.localhost和named.loopback两个文件是正向解析区域文件和反向解析区域文件的配置模板，如图8.29所示。图8.29

正向解析区域文件和反向解析区域文件的配置模板

全局配置文件、主配置文件和区域文件对主DNS服务器而言是必不可少的，其关系如图8.30所示。图8.30

DNS服务器配置文件的关系4．DNS客户机配置

在Windows客户机上，配置DNS服务器的IP地址，如图8.31所示。图8.31

配置DNS服务器的IP地址8.4.4DNS服务器配置实例1．DNS服务器配置实例需求分析DNS服务器网络拓扑结构如图8.32所示。图8.32

DNS服务器网络拓扑结构2．配置实例图8.33

查看当前DNS服务器运行状态8.5配置与管理Apache服务器Apache是世界上使用量排名第一的Web服务器软件。Apache由美国伊利诺伊大学厄巴纳-香槟分校的国家超级计算机应用中心开发，此后，被开放源代码团体的成员不断发展和完善，成为最流行的Web服务器软件之一。

Apache可以运行在几乎所有广泛使用的计算机平台上，快速、可靠且可通过简单的API进行扩充，能将Perl和Python等解释器编译到服务器中。8.5.1Apache简介1．Web服务的工作原理Web是互联网中被广泛应用的一种信息服务技术，Web采用的是客户机/服务器模式，其能整理和存储各种Web资源，并响应客户机软件的请求，把所需要的信息资源通过浏览器传送给用户。Web服务通常可以分为两种：静态服务和动态服务。Web服务运行于TCP之上，每个网站都对应一台（或多台）Web服务器，Web服务器中有各种资源，客户机就是浏览器。

Web服务的工作原理并不复杂，一般可分为4个步骤，即连接过程、请求过程、应答过程及关闭连接。（1）连接过程：浏览器和Web服务器建立TCP连接的过程。（2）请求过程：浏览器向Web服务器发出资源查询请求，在浏览器中输入的统一资源定位符（UniformResourceLocator，URL）表示资源在Web服务器中的具体位置。（3）应答过程：Web服务器根据URL把对应的资源返回给浏览器，浏览器以网页的形式把资源展示给用户。（4）关闭连接：在应答过程完成之后，浏览器和Web服务器断开连接。

浏览器和Web服务器之间的一次交互被称为一次“会话”。2．超文本传送协议

超文本传送协议（HypertextTransferProtocol，HTTP）是互联网的一个重要组成部分，而Apache、IIS服务器是HTTP的服务器软件，Microsoft公司的Edge和Mozilla的Firefox则是HTTP的客户机软件。8.5.2Apache服务器的安装、启动与停止1．Apache服务器的安装图8.34

安装Apache相关组件的过程2．设置防火墙放行，并设置SEL