情景9 网络服务器配置

1、 情景情景9 网络服务器配置网络服务器配置o由于该公司的网络办公系统中存在由于该公司的网络办公系统中存在WindowsWindows、LinuxLinux等多种操作系统平台，为了使这些平等多种操作系统平台，为了使这些平台之间能够相互访问并共享资源，应配置台之间能够相互访问并共享资源，应配置SambaSamba服务器；建设总公司、各子公司的网服务器；建设总公司、各子公司的网站及资源中心，可以建立一个站及资源中心，可以建立一个WWWWWW服务器负服务器负责责WebWeb站点的管理与发布，一个站点的管理与发布，一个DNSDNS服务器服务器负责各负责各WebWeb站点的域名解析，一个站点的域名解析，一

2、个FTPFTP服务服务器负责提供资源下载服务。器负责提供资源下载服务。 类型类型参数名参数名说明说明基本基本 workgroup指定指定Samba服务器所属的工作组服务器所属的工作组server string指定指定Samba服务器的描述信息服务器的描述信息日志日志 log file指定日志文件的保存路径指定日志文件的保存路径max log size指定日志文件的最大尺寸，单位指定日志文件的最大尺寸，单位KB其他其他 dns proxy指定是否为指定是否为Samba服务器设置服务器设置proxy类型类型参数名参数名说明说明安安全全security指定指定Samba服务器的安全级别服务器的安全级

3、别password server当当Samba服务器的安全级别不是共服务器的安全级别不是共享或用户时，用于指定验证享或用户时，用于指定验证Samba用户和口令的服务器名用户和口令的服务器名host allow指定可访问指定可访问Samba服务器的服务器的IP范围范围guest account指定指定guest帐号的名字帐号的名字, 默认默认nobody打打印印printcap name指定打印机配置文件的保存路径指定打印机配置文件的保存路径cups option指定打印机系统的工作模式指定打印机系统的工作模式load printers指定是否共享打印机指定是否共享打印机printing指定打印

4、系统的类型指定打印系统的类型参数名参数名含义含义comment指定共享目录的描述信息指定共享目录的描述信息path指定共享目录的路径指定共享目录的路径browseable指定共享目录是否可被浏览，默认指定共享目录是否可被浏览，默认yeswritable指定共享目录是否可写，默认指定共享目录是否可写，默认noguest ok指定是否允许指定是否允许guest帐号访问帐号访问public指定是否允许指定是否允许guest帐号访问帐号访问only guest指定是否只允许指定是否只允许guest帐号访问帐号访问valid users指定允许访问共享目录的用户指定允许访问共享目录的用户printabl

5、e指定是否允许打印指定是否允许打印write list指定允许写的用户组指定允许写的用户组 o在在“访问访问”选项卡，选中选项卡，选中“只允许指定用户访问只允许指定用户访问”单选按钮，在用户列表里选中单选按钮，在用户列表里选中“hbzy”用户，用户，“确确定定”。 samba服务器配置小结o添加系统用户：添加系统用户：useradd 用户名用户名o添加添加samba用户：用户：smbpasswd -a 用户名用户名o修改配置文件修改配置文件/etc/samba/smb.confo测试配置文件测试配置文件testparmo启动服务启动服务service smb startLinux主机名主机名L

6、inuxC001, IPvDNS域名解析过程域名解析过程（1）客户机提出域名解析请求，并将该请求发客户机提出域名解析请求，并将该请求发送给本地的域名服务器。送给本地的域名服务器。（2）本地的域名服务器收到请求后，先查询本本地的域名服务器收到请求后，先查询本地的缓存，如果有该纪录项，则本地的域名服务地的缓存，如果有该纪录项，则本地的域名服务器就直接把查询的结果返回。器就直接把查询的结果返回。（3）如果本地的缓存中没有该记录，则本地域如果本地的缓存中没有该记录，则本地域名服务器把请求发给根域名服务器，根域名服务名服务器把请求发给根域名服务器，根域名服务器返回给本地域名服务器一

7、个所查询域（根的子器返回给本地域名服务器一个所查询域（根的子域）的主域名服务器的地址。域）的主域名服务器的地址。vDNS域名解析过程域名解析过程（4）本地服务器向上一步返回的域名服务器发本地服务器向上一步返回的域名服务器发送请求，接受请求的服务器查询自己的缓存，如送请求，接受请求的服务器查询自己的缓存，如果没有该纪录，则返回相关的下级域名服务器的果没有该纪录，则返回相关的下级域名服务器的地址。地址。（5）重复第四步，直到找到正确的纪录。重复第四步，直到找到正确的纪录。（6）本地域名服务器将结果返回给客户机；同本地域名服务器将结果返回给客户机；同时把结果保存到缓存，以备下次使用。时把结果保存到缓

8、存，以备下次使用。 vDNS域名解析过程域名解析过程vDNS域名解析过程域名解析过程nbind：DNS服务器软件包。服务器软件包。nbind-utils：DNS测试工具，包括测试工具，包括host与与nslookup等。等。nbind-chroot：使：使bind运行在指定的目录中的安运行在指定的目录中的安全增强工具。全增强工具。ncaching-nameserver：高速缓存：高速缓存DNS服务器的基服务器的基本配置文件，建议安装。本配置文件，建议安装。提示提示ochroot是是change root的缩写，它可以改的缩写，它可以改变程序运行时所参考的变程序运行时所参考的“/”根目录位置根目

9、录位置 。使。使用了用了chroot后，由于后，由于bind程序的虚拟根目程序的虚拟根目录是录是/var/named/chroot/，所以对于，所以对于dns服务器配置文件、区域数据文件等，都服务器配置文件、区域数据文件等，都是相对这个虚拟根目录而言的，例如是相对这个虚拟根目录而言的，例如/etc/named.conf,其真正的路径是其真正的路径是/var/named/chroot/etc/named.conf 。配置文件配置文件说明说明/etc/named.conf主配置文件主配置文件/var/named/named.ca指向根域名服务器的指示文件指向根域名服务器的指示文件/var/name

10、d/localhost.zone用于用于localhost到本地回环地址到本地回环地址的解析的解析/var/named/named.local用于本地回环地址到用于本地回环地址到localhost的解析的解析正向区域文件（文件名由主正向区域文件（文件名由主配置文件指定）配置文件指定）实现区域内主机名到实现区域内主机名到IP地址的地址的正向解析正向解析反向区域文件（文件名由主反向区域文件（文件名由主配置文件指定）配置文件指定）用于实现区域内用于实现区域内IP地址到主机地址到主机名的反向解析名的反向解析named.conf文件。文件。named.conf文件内容文件内容 域名：域名：表示使用主配置

11、文件表示使用主配置文件中中zone语句定义的域名语句定义的域名主机名：以主机名：以”.”结尾表示完整主结尾表示完整主机名，而非相对域名机名，而非相对域名邮箱：以邮箱：以”.”代替邮箱中的代替邮箱中的 文件文件/目录名目录名说明说明/etc/httpd/conf/httpd.confApache配置文件配置文件/var/log/httpd/access_logApache访问日志文件访问日志文件/var/log/httpd/error_logApache错误日志文件错误日志文件/var/www/默认默认Web站点的根目录站点的根目录/var/www/html默认默认Web站点站点HTML文档的文

12、档的保存目录保存目录.htaccess基于目录的配置文件，包含基于目录的配置文件，包含其所在目录的访问控制和认其所在目录的访问控制和认证等参数。证等参数。注：基于域名的虚拟主机配置，需要DNS的支持，另外多个虚拟主机需要使用默认的80端口NameVirtualHost 03DocumentRoot /var/www/vhost-ip1ServerName DocumentRoot /var/www/vhost-ip2ServerName 添加添加 #号号去掉去掉 #号号配置目录的认证和授权oAllowOverride None：禁止读取：禁止读取.htaccess配置配置

13、文件的内容文件的内容oAuthName：认证名字：认证名字oAuthType：认证类型：认证类型nBasic，基本认证，所有浏览器都支持，基本认证，所有浏览器都支持nDigest，摘要认证，部分浏览器不支持，摘要认证，部分浏览器不支持oAuthUserFile：认证用户文件，存放认证用户：认证用户文件，存放认证用户的列表文件的列表文件orequire valid-user：授权给通过认证的所有用：授权给通过认证的所有用户户读读AllowOverride Allorder deny,allow缺省允许所有的客户机缺省允许所有的客户机访问，且访问，且deny 语句在语句在allow语句之前被匹配。

14、语句之前被匹配。order allow,deny缺省禁止所有的客户机缺省禁止所有的客户机访问，且访问，且allow语句在语句在deny语句之前被匹配。语句之前被匹配。等价于等价于Order allow,denyAllow from 192.168.3.*oVsftpd服务器最重要的是主配置文件服务器最重要的是主配置文件vsftpd.conf。与与Vsftpd服务器相关的文件和目录如下表所示服务器相关的文件和目录如下表所示文件文件/目录名目录名说明说明/etc/vsftpd/vsftpd.confVsftpd主配置文件主配置文件/etc/vsftpd/ftpusers禁止访问禁止访问Vsftpd

15、服务器的服务器的用户列表用户列表/etc/vsftpd/user_list根据根据vsftpd.conf许可或禁许可或禁止访问止访问Vsftpd的用户列表的用户列表文件文件/var/ftp匿名用户的默认文件目录匿名用户的默认文件目录（1）Vsftpd服务器的用户服务器的用户oVsftpd服务器的用户主要分为两类：本地用服务器的用户主要分为两类：本地用户和匿名用户户和匿名用户o本地用户是在本地用户是在Vsftpd服务器上拥有账号的用服务器上拥有账号的用户，输入用户名和口令后可登录户，输入用户名和口令后可登录Vsftpd服务服务器，并直接进入该用户的主目录。器，并直接进入该用户的主目录。o匿名用户

16、是在匿名用户是在Vsftpd服务器上没有账号的用服务器上没有账号的用户。输入匿名用户名户。输入匿名用户名ftp或或anonymous，输入，输入E-mail作为口令或不输入口令即可登录，登作为口令或不输入口令即可登录，登录后进入匿名录后进入匿名ftp服务目录服务目录/var/ftp（2）配置文件）配置文件vsftpd.confo/etc/vsftpd/vsftpd.conf配置文件有如下格式配置文件有如下格式规则。规则。o配置语句语法：参数名称配置语句语法：参数名称=参数值参数值o除参数值外，所有选项不区分大小写除参数值外，所有选项不区分大小写o“#”表示该行为注释信息表示该行为注释信息ovs

17、ftpd.conf文件中可定义多个配置参数，文件中可定义多个配置参数，表表9-6列出了最常用的部分配置参数。列出了最常用的部分配置参数。表表9-6 Vsftpd服务器的主要配置参数服务器的主要配置参数参数名参数名说明说明anonymous_enable指定是否允许匿名登录，默认为指定是否允许匿名登录，默认为Yeslocal_enable是否允许本地用户登录，默认为是否允许本地用户登录，默认为Yeswrite_enable指定是否开放写（上传）权限，默认为指定是否开放写（上传）权限，默认为Yeslocal_umask指定文件创建的初始权限指定文件创建的初始权限dirmessage_enable指

18、定是否能浏览目录内指定是否能浏览目录内.message文件中文件中的信息的信息userlist_enable指定是否启用指定是否启用user-list文件文件idle_session_timeout指定用户会话空闲多少时间（以秒为单指定用户会话空闲多少时间（以秒为单位）后自动断开位）后自动断开data_connection_timeout指定数据连接空闲多少时间（以秒为单指定数据连接空闲多少时间（以秒为单位）后自动断开位）后自动断开表表9-6 Vsftpd服务器的主要配置参数（续）服务器的主要配置参数（续）参数名参数名说明说明ascii_upload_enable指定是否允许使用指定是否允许使

19、用ASCII格式上传文件格式上传文件ascii_download_enable指定是否允许使用指定是否允许使用ASCII格式下载文件格式下载文件listen指定指定Vsftpd服务器的运行方式，默认为服务器的运行方式，默认为Yes以独立方式运行（驻留内存）以独立方式运行（驻留内存）xferlog_enable指定是否启用日志功能指定是否启用日志功能xferlog_std_format指定采用何种日志格式指定采用何种日志格式connect_from_prot 20指定是否启用指定是否启用20端口进行数据连接（主端口进行数据连接（主动模式）动模式）pam_service_name指定验证方式指定验

20、证方式tcp_wrapper指定是否启用防火墙指定是否启用防火墙xinetd模式：只在外部连接发送请求模式：只在外部连接发送请求时才调用时才调用FTP进程进程 （3）ftpusers文件文件o文件文件/etc/vsftpd/ftpusers用于指定不能访问用于指定不能访问Vsftpd服务器的用户列表。此文件格式采服务器的用户列表。此文件格式采用每个用户占用一行的形式，其包含的用用每个用户占用一行的形式，其包含的用户通常是户通常是Linux系统的超级用户和系统用户。系统的超级用户和系统用户。/etc/vsftpd/ftpusers文件文件（4）user_list文件文件o文件文件/etc/vsf

21、tpd/user_list中也保留用户列表，中也保留用户列表，其是否起效取决于其是否起效取决于vsftpd.conf配置文件的设置。配置文件的设置。o禁止禁止user_list文件中的用户登录文件中的用户登录userlist_enable=YES userlist_deny =YESo只允许只允许user_list文件中的用户登录文件中的用户登录userlist_enable=YES userlist_deny =NOp如果用户在如果用户在user_list文件中允许登录，在文件中允许登录，在ftpusers中禁止登录，则不允许该用户登录。中禁止登录，则不允许该用户登录。图图9-92 9-92

22、 编辑编辑vsftpd.confvsftpd.conf配置文件配置文件图图9-93 9-93 修改修改/var/ftp/pub/var/ftp/pub目录权限目录权限local_umask=022o一般来说，新建文件的默认值是一般来说，新建文件的默认值是666，新建，新建目录的默认值是目录的默认值是777，如果将权限掩码设置，如果将权限掩码设置为为022，则每个新建文件的默认权限为，则每个新建文件的默认权限为666-022=644，而目录的默认权限则为，而目录的默认权限则为777-022=755。chroot_local_user=YESchroot_list_file=/etc/vsftpd

23、/chroot _listochroot_local_user=YES，则所有本地用户，则所有本地用户登录到登录到FTP服务器后被禁锢在宿主目录，服务器后被禁锢在宿主目录，宿主目录将作为根（宿主目录将作为根（/）目录。）目录。o只禁锢指定用户只禁锢指定用户chroot_local_user=NO chroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list在在chroot_list文件中添加指定用户文件中添加指定用户图图9-98 9-98 编辑编辑user_listuser_list文件文件图图9-97 9-97 编辑编辑ftpu

24、sersftpusers文件文件添加添加 dirmessage_enable=YESpvi /var/ftp/pub/.messageWelcome to ftp share directoryp当用户登录当用户登录ftp服务器并切换到服务器并切换到pub目录时，将目录时，将看到该信息。看到该信息。图图9-101 FTP9-101 FTP命令下载命令下载ftp.txtftp.txt文件文件命令名命令名说明说明？或？或help列出列出ftp提示符后可用的所有命令提示符后可用的所有命令open 域名域名|IP地址地址建立与指定建立与指定FTP服务器的连接服务器的连接close关闭与关闭与FTP服务

25、器的连接，服务器的连接，ftp命令行工命令行工具仍可用具仍可用ls查看查看FTP服务器当前目录的文件服务器当前目录的文件cd 目录名目录名切换到切换到FTP服务器中指定的目录服务器中指定的目录pwd显示显示FTP服务器的当前目录服务器的当前目录mkdir 目录名目录名在在FTP服务器新建目录服务器新建目录rmdir 目录名目录名删除删除FTP服务器中指定目录，要求此目服务器中指定目录，要求此目录为空录为空rename 新文件名新文件名 源文源文件名件名更改更改FTP服务器中指定文件的文件名服务器中指定文件的文件名命令名命令名说明说明delete 文件名文件名删除删除FTP服务器中指定的文件服务

26、器中指定的文件get 文件名文件名从从FTP服务器下载指定的一个文件服务器下载指定的一个文件mget 文件名列表文件名列表从从FTP服务器下载多个文件，可使用通服务器下载多个文件，可使用通配符配符put 文件名文件名向向FTP服务器上传指定的一个文件服务器上传指定的一个文件mput 文件名列表文件名列表向向FTP服务器上传多个文件，可使用通服务器上传多个文件，可使用通配符配符lcd显示本地机的当前目录显示本地机的当前目录led 目录名目录名将本地机工作目录切换到指定目录将本地机工作目录切换到指定目录!命令名命令名 选项选项执行本地机中可用的命令执行本地机中可用的命令bye或或quit退出退出f

27、tp命令行工具命令行工具 补充：设置虚拟账号登录FTPo使用虚拟账号替代本地用户将增强系统的使用虚拟账号替代本地用户将增强系统的安全性。安全性。o步骤：步骤：1）建立虚拟用户口令库文件）建立虚拟用户口令库文件2）生成）生成vsftpd的认证文件的认证文件3）建立虚拟用户所需的）建立虚拟用户所需的PAM配置文件配置文件4）建立虚拟用户及要访问的目录并设置相应）建立虚拟用户及要访问的目录并设置相应的权限的权限5）设置）设置vsftpd.conf配置文件配置文件1）建立虚拟用户口令库文件o口令库文件中奇数行设置用户名，偶数行口令库文件中奇数行设置用户名，偶数行设置口令设置口令vi vu_list.t

28、xtzhang3123456li4123456o注：文件中不能存在空白行注：文件中不能存在空白行2）生成vsftpd的认证文件o使用使用db_load命令生成认证文件命令生成认证文件db_load -T -t hash -f vu_list.txt /etc/vsftpd/vu_list.dbo设置认证文件只对用户可读可写设置认证文件只对用户可读可写chmod 600 /etc/vsftpd/vu_list.db3）建立虚拟用户所需的PAM配置文件p原原vsftpd.conf配置文件中的认证文件配置文件中的认证文件pam_service_name=vsftpd (/etc/pam.d/vsftpd)o手工建立手工建立vsftpd.vu文件文件vi /etc/pam.d/vsftpd.vuauth required /lib/security/pam_userdb.so db=/etc/vsftpd/vu_listaccount required /lib/security/pam_userdb.so db=/etc/vsftpd/vu_list