linux常用服务器配置

Linux常用服务器配置文件修改记录表序修改人修改内容批准人生效日期版本号1纪能能“J八、、八、、创建李石鹏2012纪能能/J八、、八、、增加DNS,DHCP,NTP的配置李石鹏纪能能/J八、、八、、增加FTP服务器的配置李石鹏45678910版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属江苏金智教育信息技术有限公司所有，受到有关产权及版权法保护。任何单位和个人未经江苏金智教育信息技术有限公司的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。Copyright2011江苏金智教育信息技术有限公司版权所有目录目录说明文档目的为了能够让部门工程师在以后的部署实施过程中熟悉linux下常用的业务配置，遂整理此文档。本文详细列出了在常见环境中Linux下常用业务配置；并对具体业务进行了分析和配置示例，希望大家在以后的部署中能够严格去执行此规范。规范文档中，尚有欠妥之处。请各位实施部署工程师及时指正！文档适用范围本文档使用江苏金智教育信息技术有限公司所有项目范围（含北京分公司、上海分公司、福建区域）文档约定XXX字符标示着根据现场实际情况来填写红色加粗标示着必须严格按照要求填写1NFS服务的配置=iNFS服务的简介1NFS服务的配置=iNFS（NetworkFileService）的设计是为了在不同的unix系统间进行档案共享。当使用者想用远端档案时只要用“mount”就可把remote文件系统挂接在自己的文件系统之下，使得远端的文件使用上和local机器的档案没两样。其目的就是让不同unix操作系统之间可以彼此共享文件。NFS服务器的常用功能：1、可以把服务器的文件象本地一样的操作，很方便；2、NFS服务器对系统资源占用也少；3、NFS可以支持很多其他服务，比如kickstart（kickstart是无人值守，网络批量安装服务），NIS等等。NFS服务建立在RPC（远程过程调用）协议上的服务，使用时需要先打开portmap（端口映射）服务进程。因为本身NFS服务的功能非常多，所以通常该服务开启的端口是随机的，当NFS需要使用某个功能时，我们通常是将开启的请求发送给RPC协议上的portmap进程，做一个端口开启与映射工作。作为一名运维工程师，对于NFS服务的配置一定要非常的熟悉。NFS服务也是类unix平台下最基本的常用业务。NFS服务侧写1）NFS服务的进程通常有：nfsd，nfslockd，rpciod，，，2）服务启动脚本：/etc/portmap,/etc/nfs3）使用端口：111（portmap进程的端口，通常只有这一个是固定使用端口）4）所需RPM包：nfs-utils5）相关RPM包：portmap（必需）6）配置文件：/etc/exportsNFS服务端的配置通常来说，NFS服务端的配置主要是基于/etc/exports文件的编辑。初始状态下，/etc/exports文件为空。文件中的每一行，表示一个开放的目录，并记录着它开放权限。每一行中都分为三列关系：第一列，写入你需要共享的目录路径；第二列写入客户端描述，也就是哪些客户端可以使用你的服务器共享的资源；第三列是紧挨着第二列的，内容是共享信息开放的权限。具体配置实例如下：/home/share*.（ro,sync）表示将‘/home/share’目录以‘只读/readonly’的方式开放给这个域的所有成员。•表示将/var/ftp/pub目录以“读写”的权限开放给这个网络的所有客户端成员。•/kickstart表示将/kickstart目录以“读写”的权限只开放给这一个客户端成员。配置文件/etc/exports中有一些常见的使用参数，具体功能如下:sync代表资料会同步写入到内存和硬盘中。async则代表资料会暂存于内存中，而非直接写入硬盘。ro,rw该目录共享的权限是只读或者读写的权限，但最终能不能读写还要看本身文件系统的设置。如/var/ftp/pub目录共享时是rw权限，如果最终客户端想要读写操作该目录，还必须执行chmodo+rw/var/ftp/pub才可以。root_squash当登陆NFS主机使用共享目录的使用者是root时，其权限被转换成匿名使用者，通常它的UID与GID都会变成nfsnobody身份。no_root_squash如果你想要开放客户端使用root身份来操作服务器的文件系统，那么就得要设置no_root_squash才可以。强烈建议不要设置此参数，使用默认的root_squash参数比较安全些。all_squash不论客户端使用共享资源的用户是什么样的身份，都会被转换成nfsbody身份。1.4服务的启动与检查当服务端的配置做好后，我们需要重启服务让配置生效，并做好相应的配置检查。服务启动时我们一定首先启动portmap进程，之后再启动nfs主进程。使用如下命令：[root@station20~]#/etc/portmaprestartStoppingportmap:[OK]Startingportmap:[OK][root@station20~]#/etc/nfsrestartShuttingdownNFSmountd:[FAILED]ShuttingdownNFSdaemon:[FAILED]ShuttingdownNFSquotas:[FAILED]ShuttingdownNFSservices:[FAILED]StartingNFSservices:[OK]StartingNFSquotas:[OK]StartingNFSdaemon:[OK]StartingNFSmountd:[OK]服务启动后，我们还需要做好相应的服务配置检查，才能确保NFSserver真正的运行没有问题。检查我们使用如下命令：[root@station20~]#exportfs-rv[root@station20~]#showmount-elocalhostExportlistforlocalhost:programversprotoport1000002tcp111portmapper

1000002udp111portmapper1000241udp611status1000241tcp614status1000111udp919rquotad1000112udp919rquotad1000111tcp922rquotad1000112tcp922rquotad1000032udp2049nfs1000033udp2049nfs1000034udp2049nfs1000211udp50578nlockmgr1000213udp50578nlockmgr1000214udp50578nlockmgr1000032tcp2049nfs1000033tcp2049nfs1000034tcp2049nfs1000211tcp53998nlockmgr1000213tcp53998nlockmgr1000214tcp53998nlockmgr1000051udp946mountd1000051tcp949mountd1000052udp946mountd1000052tcp949mountd1000053udp946mountd1000053tcp949mountd检查的命令中，前面的两个命令：exportfs-rv和showmount-elocalhost，都是检查serve端的共享信息。第三个命令rpcinfo-pserverip这个是用来列出NFSserver端服务开启后的进程与端口的对应关系，如果这其中少了一些如mountd,nfs等进程对应关系，NFSserver都是开启不了的。第三条检查命令强烈建议熟悉使用。1.5NFS客户端的使用NFS服务端配置完成后，NFS客户端的使用相对就简单的多。首先可以使用如下命令检查server端的共享信息。当确定服务端的共享信息后，我们在使用相应的挂载命令将server的信息当做本地资源一样的进行挂载使用。使用命令如下：永久挂载server端资源，使用如下命令：[root@instructor~]#vim/etc/fstabproc/procprocdefaults00/dev/GLSvg/GLSswapswapswapdefaults00[root@instructor~]#mount-a2DNS服务的基本配置2.1DNS的基本概念DNS(domainnameserver)是域名解析服务器，提供域名和IP地址之间一种相互转换的机制，目的是为了方便人们的记忆和管理。对于计算机来说通过IP地址指向主机很方便，但对于人来说，使用名字会更合适。这就需要使用一个转换表把IP地址转换为主机名，但由于Internet上有数百万的计算机并且每天还要有很多新的计算机加入，因此要使每个人都保持最新的转换表是不可能的，于是出现了DNS。域名服务(DomainNameService，简称DNS)是一个系统，通过它，每个站点只需维护它自己范围内的IP地址到计算机名的映射。每个站点把这一映射放入一个可供公开查询的数据库，因此任何人想查找该站点中对应主机名的IP地址时，只需简单地查询该站点的数据库。DNS是Internet上一项非常重要的服务，许多服务的正常使用都建立在DNS服务的正确配置上。通常来说，DNS解析服务分为：正向解析和反向解析。顾名思义，正向解析就是将主机名解析成对应的IP，反向解析就是将IP解析成对应的主机名。DNS的主要功用包括：.提供email寻路分散网络管理有效搜寻域分级管理域名2.2DNS的组织结构2.2.1域和域名DNS域名系统采用分层式的管理结构，每一层的主机只负责自己范围内的主机与IP的解析映射关系。如同一个倒置的数，这个逻辑上的树形结构我们称之为域名空间。正因为DNS划分了域名空间，所以各主机可以使用自己的域名空间创建DNS信息。通常的结构组织结构如下：域和域名：DNS树的每个节点代表一个域，通过这些节点，对整个域名空间进行划分，成为一个层次结构。根域一般是指DNS层次结构中总的管理者，目前全世界共13个根域，可以通过/var/named/chroot/var/named/o域名空间的每个域的名字，通过域名进行表示。域名通常由一个完全正式域名（FQDN）标识。FQDN能准确表示出其相对于DNS域树根的位置，也就是节点到DNS树根的完整表述方式，从节点到树根采用反向书写，并将每个节点用“.”分隔，对于DNS域google来说，其完全正式域名（FQDN）为。2.2.2域名空间域名空间最顶层，DNS根称为根域（root）o根域的下一层为顶级域，又称为一级域。其下层为二级域，再下层为二级域的子域，按照需要进行规划，可以为多级。所以对域名空间整体进行划分，由最顶层到下层，可以分成：根域、顶级域、二级域、子域。并且域中能够包含主机和子域。主机www的FQDN从最下层到最顶层根域进行反写，表示为。Internet域名空间的最顶层是根域（root），其记录着Internet的重要DNS信息，由Internet域名注册授权机构管理，该机构把域名空间各部分的管理责任分配给连接到Internet的各个组织。DNS根域下面是顶级域，也由Internet域名注册授权机构管理。2.3区、域及授权一个域（domain）包含一个完整的分级域名下层树。区（zone）是DNS名称空间的一个连续部分，其包含了一组存储在DNS服务器上的资源记录。每个区都位于一个特殊的域节点，但区并不是域。DNS域是名称空间的一个分支，而区一般是存储在文件中的DNS名称空间的某一部分，可以包括多个域。一个域可以再分成几部分，每个部分或区可以由一台DNS服务器控制。使用区的概念，DNS服务器回答关于自己区中主机的查询，它是哪个区的授权服务器。2.4主、辅域名服务器每个区必须有主服务器，另外每个区至少要有一台辅助服务器，否则如果该区的主服务器崩溃了，就无法解析该区的名称。当区的辅助服务器启动时，它与该区的主控服务器进行连接并启动一次区传输，区辅助服务器定期与区主控服务器通信，查看区数据是否改变。如果改变了，它就启动一次区传输。辅助服务器的优点：1）容错能力配置辅助服务器后，在该区主服务器崩溃的情况下，客户机仍能解析该区的名称。一般把区的主服务器和区的辅助服务器安装在不同子网上，这样如果到一个子网的连接中断，DNS客户机还能直接查询另一个子网上的名称服务器。2）减少广域链路的通信量如果某个区在远程有大量客户机，用户就可以在远程添加该区的辅助服务器，并把远程的客户机配置成先查询这些服务器，这样就能防止远程客户机通过慢速链路通信来进行DNS查询。3）减轻主服务器的负载辅助服务器能回答该区的查询，从而减少该区主服务器必须回答的查询数2.5DNS查询原理与流程DNS查询方式（1）递归查询递归查询是一种DNS服务器的查询模式，在该模式下DNS服务器接收到客户机请求，必须使用一个准确的查询结果回复客户机。如果DNS服务器本地没有存储查询DNS信息，那么该服务器会询问其他服务器，并将返回的查询结果提交给客户机。（2）迭代查询DNS服务器另外一种查询方式为迭代查询，DNS服务器会向客户机提供其他能够解析查询请求的DNS服务器地址，当客户机发送查询请求时，DNS服务器并不直接回复查询结果，而是告诉客户机另一台DNS服务器地址，客户机再向这台DNS服务器提交请求，依次循环直到返回查询的结果为止。DNS查询流程客户机提交域名解析请求，并将该请求发送给本地的域名服务器。当本地的域名服务器收到请求后，就先查询本地的缓存。如果有查询的DNS信息记录，则直接返回查询的结果。如果没有该记录，本地域名服务器就把请求发给根域名服务器。根域名服务器再返回给本地域名服务器一个所查询域的顶级域名服务器的地址。本地服务器再向返回的域名服务器发送请求。接收到该查询请求的域名服务器查询其缓存和记录，如果有相关信息则返回客户机查询结果，否则通知客户机下级的域名服务器的地址。本地域名服务器将查询请求发送给返回的DNS服务器。域名服务器返回本地服务器查询结果（如果该域名服务器不包含查询的DNS信息，查询过程将重复6、7步骤，直到返回解析信息或解析失败的回应）。本地域名服务器将返回的结果保存到缓存，并且将结果返回给客户机。2.5.3DNS域名解析实例假设客户机使用电信ADSL接入Internet,电信为其分配的DNS服务器地址为，域名解析过程如下：1）客户机向本地的域名服务器发送解析请求。2）当本地的域名服务器收到请求后，就先查询本地的缓存。如果有查询的DNS信息记录，则直接返回查询的结果。如果没有该记录，本地域名服务器就把解析请求发给根域名服务器。3）根域名服务器收到请求后，根据完全正式域名FQDN，判断该域名属于com域，查询所有的com域DNS服务器的信息，并返回给本地域名服务器。4）本地域名服务器收到回应后，先保存返回的结果，再选择一台com域的域名服务器，向其提交解析域名的请求。5）com域名服务器接收到该查询请求后，判断该域名属于域，通过查询本地的记录，列出管理google域的域名服务器信息，然后将查询结果返回给本地的域名服务器。6）本地域名服务器收到回应后，先缓存返回的结果，再向域的服务器发出请求解析域名的数据包。7）域名服务器收到请求后，查询DNS记录中的www主机的信息，并将结果返回给本地服务器。8）本地域名服务器将返回的查询结果保存到缓存，并且将结果返回给客户机。2.6资源记录1）SOA资源记录每个区在区的开始处都包含了一个起始授权记录（StartofAuthorityRecord），简称SOA记录。SOA定义了域的全局参数，进行整个域的管理设置。一个区域文件只允许存在唯一的SOA记录。2）NS资源记录名称服务器（NS）资源记录表示该区的授权服务器，它们表示SOA资源记录中指定的该区的主和辅助服务器，也表示了任何授权区的服务器。每个区在区根处至少包含一个NS记录。3）A资源记录地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。4）PTR资源记录相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。5）CNAME资源记录规范名字（CNAME）资源记录创建特定FQDN的别名。用户可以使用CNAME记录来隐藏用户网络的实现细节，使连接的客户机无法知道。6）MX资源记录邮件交换（MX）资源记录为DNS域名指定邮件交换服务器。邮件交换服务器是为DNS域名处理或转发邮件的主机。处理邮件指把邮件投递到目的地或转交另一不同类型的邮件传送者。转发邮件指把邮件发送到最终目的服务器，用简单邮件传输协议SMTP把邮件发送给离最终目的地最近的邮件交换服务器，或使邮件经过一定时间的排队。2.7DNS服务器的配置DNS服务侧写BIND：BerkeleyInternetNameDaemon，BIND是在Internet上应用最为广泛的DNS服务器假设软件。提供稳定与可信赖的下层结构以提供域名与IP地址的转换。在整个DNS的配置过程中，我们最好是把配置文件都放在chroot环境下，这样对DNS服务器有很大的安全性考虑。chroot环境是在/var/named/chroot目录下。后台进程：named脚本：/etc/named使用端口：53（tcp，udp）所需RPM包：bind，bind-utils相关RPM包：bindconf，caching-nameserver，bind-chroot配置文件：/var/named/chroot/etc/•相关路径：/var/named/*DNS服务器的配置1.在配置DNS服务器之前，我们第一步需要做的是把DNS服务器所需要的软件包装上。安装好软件包后一定要chkconfignamedon保证服务永久生效。如下所示：[root@test~]#yuminstall-ybindbind-chrootcaching-nameserverLoadedplugins:rhnplugin,securityThissystemisnotregisteredwithRHN.RHNsupportwillbedisabled.rhel-debuginfo|kB00:00rhel-debuginfo/primary|845kB00:00rhel-debuginfo3040/3040SettingupInstallProcessResolvingDependencies

-->Runningtransactioncheck-->FinishedDependencyResolutionDependenciesResolvedPackageArchVersionRepositorySize2.定义默认的主配置文件/var/named/chroot/网上很多配置都是自己去配置默认的/etc/,这种方式可以是可以，但是对于初学者来说，去自己根据配置文件的语法定义^tc/文件是有非常大的难度。默认情况下这个是没有的，在安装好软件包后系统中只W/var/named/chroot/etc/^个文件，我个人的建议通过将这个文件拷贝成/etc/文件，这样的话，配置文件中的语法我们就不用顾忌那么多。[root@test~]#cp-p/PackageArchVersionRepositorySize2.定义默认的主配置文件/var/named/chroot/网上很多配置都是自己去配置默认的/etc/,这种方式可以是可以，但是对于初学者来说，去自己根据配置文件的语法定义^tc/文件是有非常大的难度。默认情况下这个是没有的，在安装好软件包后系统中只W/var/named/chroot/etc/^个文件，我个人的建议通过将这个文件拷贝成/etc/文件，这样的话，配置文件中的语法我们就不用顾忌那么多。[root@test~]#cp-p//var/named/chroot/etc/[root@test~]#vim/var/named/chroot/etc/listen-onport53(any;};allow-query{any;};match-clients{any;};match-destinations{any;};3.配置正向解析区域i.建立正向解析的区域文件，切记在配置的时候，域名结尾一定要有.。[root@test~]#cd/var/named/chroot/var/named/[root@testnamed]#lsslaves此处的配置文件内容和一样的，所以写哪个都一样zone""IN{typemaster;allow-update{none;};};ii.添加正向解析记录$TTL864003H;refresh1D);minimum$GENERATE73-79$PTRtest$4.配置反向解析区域15M1W;retry;expiry[root@test~]#cd/var/named/chroot/var/named/[root@testnamed]#Isslaves[root@testnamed]#cp-pexampletypemaster;allow-update{none;};};$TTL86400ii.添加反向解析记录3H;refresh15M;retry1W$TTL86400ii.添加反向解析记录3H;refresh15M;retry1W;expiry;minimum1D);minimum;minimum$GENERATE73-79$PTRtest$..2.7.3配置时的注意点1）当我们配置好正向解析区域和反向解析区域后，一定要检查每一个域名和主机域名（FQDN）后是否有加上.号。点号是代表是根域的意思，所以这个符号一定要加上去。2）在我们拷贝一个模板文件的时候，一定要使用-p参数，可以保留原来文件的权限和所属关系不变。“”。3）正向记录文件和反向记录文件中有一个批量添加记录的参^GENERATE，这个参数的语法比较特殊：正向的时候反向的时候$GENERATE73-79$PTRtest$..4）这个文件中的正向和反向区域文件的名称没有规定性，只要和/var/named/chroot/var/named目录中的区域记录文件名称一直即可。2.7.4服务的检查和重启•服务的检查分别检查DNS服务器的主配置文件和区域解析记录文件是否有配置错误。[root@test〜]#named-checkconf/var/named/chroot/etc/OKOK•服务的重启[root@test〜]#/etc/namedrestart

Stoppingnamed:[OK]Startingnamed:[OK][root@test~]#/etc/namedconfigtestzonelocaldomain/IN:loadedserial42zonelocalhost/IN:loadedserial42zoneloadedserial42zoneloadedserial422作为DNS服务器的客户端，通常我们只需要配置/etc/，文件中一般只需要设置两行参数：search2作为DNS服务器的客户端，通常我们只需要配置/etc/，文件中一般只需要设置两行参数：search，找寻的DNS域；nameserver，DNS服务器的IP。客户端的检测[root@test~]#nslookuptest1Server:Address:Name:test3Server:Address:Name:>wwwServer:Address:Name:Server:Address:3DHCP服务器的配置3.1DHCP的基本概念DHCP(DynamicHostConfigurationProtocal)就是动态主机配置协议，可以自动配置主机的IP地址、子网掩码、网关及DNS等TCP/IP信息。所以DHCP可以有效地降低客户端IP地址配置的复杂度和网络的管理成本。如果路由器能够转发DHCP请求，只需要在一个子网中配置DHCP服务器就可以向其他子网提供TCP/IP配置的服务支持。DHCP的应用环境：DHCP主要应用在以下两个应用环境，一个就是局域网中存在大量主机，第二种就是局域网中存在比较多的移动办公设备。DHCP术语DHCP服务器：配置DHCP服务的计算机DHCP客户端：启用DHCP设置的计算机作用域：一个完整连续的可用IP地址范围，DHCP服务主要就是通过作用域来管理网络分布、IP地址分配及其他相关配置参数。超级作用域：管理级的作用域集合，用于支持同一物理网络上的多个逻辑IP子网。超级作用域包含子作用域的列表，对子作用域进行统一管理。排除范围：排除范围是作用域内从DHCP服务中排除的有限IP地址序列。排除范围确保在这些范围中的任何地址都不是由网络上的服务器提供给DHCP客户机的。地址池：在定义DHCP作用域并应用排除范围之后，剩余的地址在作用域内形成可用地址池，也就是作用域中包含的可用IP地址范围哈，地址池中的地址可以由DHCP服务器动态分配给DHCP客户机。租约：客户计算机可以使用动态分配的IP地址的时间，这个时间可以由DHCP服务器设定哈。当向一台客户机发出租约后，此租约就被看作是活动的，在租约终止前，客户机可以向DHCP服务器更新其租约。当租约到期或被服务器删除后，它就变成不活动的了，租约持续时间决定了租约什么时候终止及客户机隔多久向DHCP服务器更新其租约。预约：创建从DHCP服务器到客户机的永久地址租约指定，预约可以保证子网上的特定硬件设备总是使用相同的IP地址，这对于远程访问网关、DNS服务器等必须要配置IP地址的计算机非常有用。选项类型:DHCP服务器向DHCP客户机提供租约服务时可以指定的其他客户机配置参数。典型地这些选项类型由各个作用域启用和配置。虽然大多数选项都是在RFC2132中预定义了，但若需要的话，我们还是可以使用DHCP管理器定义并添加自定义选项类型。选项类别：DHCP服务用于进一步提供给客户机的选项类型的方法。选项类别可以在用户的DHCP服务器上配置以提供特定的客户机支持。当一个选项类别添加到服务器后，就可以为该类别的客户机配置提供特定类别的选项类型。DHCP工作原理基本请求分为四个大步骤：clientsendDHCPDISCOVERY广播数据包所有的server回应DHCPOFFER数据包clientsendDHCPREQUEST数据包选择dhcpserver并确定ipserver回应DHCPACK数据包确立与该client的连接、DHCP服务侧写后台进程：dhcpd•脚本：/etc/dhcpd使用端口：67（bootps），68（bootpc）所需RPM包：dhcp*相关RPM包：配置文件：/etc/日志：/var/log/messagesDHCP服务器的配置DHCP服务器配置的第一步类似于所有其他的服务器，我们需要先把服务需要的软件包装起来。如：[root@testcacti~]#yuminstall-ydhcpLoadedplugins:rhnplugin,securityThissystemisnotregisteredwithRHN.RHNsupportwillbedisabled.SettingupInstallProcessResolvingDependencies-->Runningtransactioncheck-->FinishedDependencyResolutionDependenciesResolvedPackageArchVersionRepositorySizeInstalling:TransactionSummaryInstall1Package(s)Update0Package(s)Remove0Package(s)Totaldownloadsize:882kDownloadingPackages:Runningrpm_check_debugRunningTransactionTestFinishedTransactionTestTransactionTestSucceededRunningTransactionInstalling:dhcp1/1Installed:Complete!默认情况下，我们装好服务器软件包后，配置文伟etc/是空的，需要我们从系统提示的地方拷贝模板文件变成/etc/。如：[root@testcacti~]#vim/etc/#DHCPServerConfigurationfile.#cp:overwrite'/etc/'y[root@testcacti〜]#vim/etc/#常用配置文件信息如下ddns-update-styleinterim;ignoreclient-updates;defaultgatewayoptiondomain-name"";default-lease-time21600;max-lease-time43200;#wewantthenameservertoappearatafixedaddresshostns(hardwareethernet12:34:56:78:AB:CD;}}3.6/etc/配置文件介绍主配置文件组成部分parameters（参数）declarations（声明）option（选项）主配置文件整体框架包括全局配置和局部配置。全局配置可以包含参数或选项，该部分对整个DHCP服务器生效。局部配置通常由声明部分来表示，该部分仅对局部生效，比如只对某个IP作用域生效哈〜文件格式：#全局配置参数或选项；#全局生效#局部配置声明{参数或选项；#局部生效}常用参数介绍参数主要用于设置服务器和客户端的动作或者是否执行某些任务，比如设置IP地址租约时间、是否检查客户端所用的IP地址等等。（1）ddns-update-style（none|interim|ad-hoc）作用：定义所支持的DNS动态更新类型none:表示不支持动态更新interim:表示DNS互动更新模式ad-hoc：表示特殊DNS更新模式注意：这个选项是必选参数，配置文件中必须包含这一个参数并且要放在第一行。（2）ignoreclient-updates作用：忽略客户端更新注意：这个参数只能在服务器端使用。（3）default-lease-timenumber（数字）作用：定义默认IP租约时间（4）max-lease-timenumber（数字）作用：定义客户端IP租约时间的最大值注意：（3）、（4）都是以秒为单位的租约时间，该项参数可以作用在全局配置中，也可以作用在局部配置中。常用声明介绍声明一般用来指定IP作用域、定义为客户端分配的IP地址池等等哈〜声明格式如下：声明{选项或参数；}常见声明的使用如下：（1）subnet网络号netmask子网掩码{}作用:定义作用域，指定子网注意：网络号必须与DHCP服务器的网络号相同（2）range起始IP地址结束IP地址作用：指定动态IP地址范围注意：可以在subnet声明中指定多个range，但多个range所定义IP范围不能重复常用选项介绍选项通常用来配置DHCP客户端的可选参数，比如定义客户端的DNS地址、默认网关等等。选项内容都是以option关键字开始滴〜常见选项使用如下：（1）optionroutersIP地址作用：为客户端指定默认网关（2）optionsubnet-mask子网掩码作用：设置客户端的子网掩码（3）optiondomain-name-serversIP地址作用：为客户端指定DNS服务器地址注意：（1）、（2）、（3）选项可以用在全局配置中，也可以用在局部配置中。基本的DHCP服务器配置常见的DHCP服务器配置很简单，只需要改如下几个参数即可。如：[root@testcacti~]#vim/etc/ddns-update-styleinterim;ignoreclient-updates;#此处填入DHCPSERVER的IPoptiondomain-name"";#如果网络内没有DNSserver此处可以不用填#IP地址池范围default-lease-time21600;max-lease-time43200;#wewantthenameservertoappearatafixedaddress#此处是设置绑定IP与MAC地址hostns(hardwareethernet12:34:56:78:AB:CD;}}3.7DHCP服务的重启与检查当我们配置好DHCPSERVER后，我们还要去检查DHCPSERVER的配置文件是否正确。具体的检查方法如下：[root@testcacti~]#/etc/dhcpdconfigtestSyntax:OK[root@testcacti~]#dhcpdCopyright2004-2006InternetSystemsConsortium.Allrightsreserved.WARNING:Hostdeclarationsareglobal.Theyarenotlimitedtothescopeyoudeclaredthemin.Wrote0deletedhostdeclstoleasesfile.Wrote0newdynamichostdeclstoleasesfile.Wrote0leasestoleasesfile.SendingonSocket/fallback/fallback-netDHCPSERVER服务的开启和停止，也和DNS等其他服务类似。具体方法如下:[root@testcacti~]#/etc/dhcpdrestartShuttingdowndhcpd:[OK]Startingdhcpd:[OK][root@testcacti~]#chkconfigdhcpdon#这一步是为了保证DHCP服务永久生效一般DHCPSERVER会有一个IP信息租赁文件，如果客户端太多，有时候我们需要手动清除不用的IP租赁信息，可以编辑此文件/var/lib/dhcpd/，删除其中的某一个租赁字段即可。4NTP服务器的配置4.1NTP服务器的搭建在实际项目实施过程中，我们经常碰到需要新建一个NTP服务器进行对时的问题。通常按照以下步骤去新建一个NTP服务器：vi/etc/restrictdefaultkodnomodifynotrapnopeernoqueryrestrict-6defaultkodnomodifynotrapnopeernoqueryanonymous_enable=NO——禁用匿名用户登录Youmayspecifyanexplicitlistoflocaluserstochroot()totheirhomedirectory.Ifchroot_local_userisYES,thenthislistbecomesalistofuserstoNOTchroot().#chroot_list_enable=YES(defaultfollows)#chroot_list_file=/etc/vsftpd/chroot_listlocal_root=/OAFTP限制普通用户登录ftp服务器后，只能在/OAFTP目录下>新建用户及FTP共享目录useraddoauserechooauser|passwd--stdinoausermkdir/OAFTPchmod-Ro=rwx/OAFTP>重启ftp服务应用更改[root@testlinux〜]#/etc/vsftpdrestartShuttingdownvsftpd:[FAILED]Startingvsftpdforvsftpd:[OK]>测试验证[root@yx〜]#ftplocalhostConnectedto.530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(localhost:root):oauser331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/OAFTP”ftp>ls227EnteringPassiveMode(127,0,0,1,50,229)150Herecomesthedirectorylisting.drwxr-xrwx25015014096Jun1912:03testDirectorysendOK.ftp>mkdirtest123257"/OAFTP/test123"createdftp>cdtest123250Directorysuccessfullychanged.ftp>touchfiletestInvalidcommandftp>!lsftp>putlocal:remote:EnteringPassiveMode(127,0,0,1,237,215)150Oktosenddata.FilereceiveOK.47798bytessentinseconds+05Kbytes/s)ftp>lsEnteringPassiveMode(127,0,0,1,183,51)150Herecomesthedirectorylisting.-rw-r--r--150150147798Jun1913:03226DirectorysendOK.ftp>4.2用户隔离配置(每个用户使用单独的共享目录)该配置基于vsftpd默认的软件包，不需要额外安装rpm包。首先新建需要使用ftp服务的用户并配置其密码：可以[root@testlinux〜]#useradd-d/ftpdir1-s/sbin/nologinftpuser1——指定用户的家目录在/ftpdir1下，根据需要将该目录更换成其他目录可以[root@testlinux〜]#useradd-d/ftpdir2-s/sbin/nologinftpuser2[root@testlinux〜]#echopassword|passwd--stdinftpuser1Changingpasswordforuserftpuser1.passwd:allauthenticationtokensupdatedsuccessfully.[root@testlinux~]#echopassword|passwd--stdinftpuser2Changingpasswordforuserftpuser2.passwd:allauthenticationtokensupdatedsuccessfully.注：上述命令中，’echopassword|passwd--stdinftpuser1’该命令是以标准输入的方式将password这8个字符通过管道符传递给passwd命令，然后由passwd命令修改ftpuser1用户的密码为passwordo编辑/etc/vsftpd/打开FTP服务器默认的配置文件/etc/vsftpd/,按照如下配置，启用chroot参数，通过该配置，可以将用户登录到ftp服务器后，限定在该用户的家目录下。[root@testlinux~]#vim/etc/vsftpd/#listen_ipv6=YESYoumayspecifyanexplicitlistoflocaluserstochroot()totheirhomedirectory.Ifchroot_