项目7 网络服务配置与管理

项目7网络服务配置与管理Linux网络操作系统项目式教程（第二版）任务11Samba服务概述Samba服务配置与管理2Samba服务端配置3Samba客户端验证1Samba服务概述1Samba的由来Samba服务概述早期共享文件使用FTP服务，不能直接修改服务器上的文件FTP要求先把文件下载到本机，修改后再提交到服务器解决方案：Windows：通用网络文件系统（CommonInternetFileSystem，CIFS）UNIX：网络文件系统（NetworkFileSystem，NFS）1Samba工作原理Samba服务概述Samba基于NetBIOS协议，在小型局域网内部进行网络通信根据NetBIOS协议，主机必须有一个唯一的名字，即NetBIOSNameNetBIOS协议的通过包括两个步骤加入到相同的群组并登录对方主机根据拥有的权限访问共享资源Samba使用两个守护进程实现主机的通信nmbd：负责名称解析及文件浏览，工作在137,138/UDP端口smbd：提供文件和打印机共享及用户验证服务，工作在139,445/TCP端口1Samba联机模式－对等模式Samba服务概述各台主机之间没有主从关系，彼此独立每台主机都独立地管理自己的账号和密码在主机A上输入主机B的账号和密码，并交由主机B进行账户验证主机多了会有什么问题？1Samba联机模式－主控模式Samba服务概述所有主机的账号和密码都保存在主域控制器（PrimaryDomainController，PDC）上主域控制器进行用户验证，并根据验证结果给予用户适当的访问权限所有的验证操作都交给主域控制器2Samba服务端配置2Samba安装与启停Samba服务端配置软件名称：samba后台守护进程：smb[root@centos7~]#yuminstallsamba-y //一键安装Samba[root@centos7~]#rpm-qa|grepsamba //安装后再次查看samba-4.10.16-5.el7.x86_64samba-client-libs-4.10.16-5.el7.x86_64systemctlstart|stop|restart|status|enablesmb2Samba服务器的搭建步骤Samba服务端配置安装Samba软件配置Samba服务端创建共享目录添加Samba用户启动Samba服务在Samba客户端访问共享资源2Samba主配置文件－smb.confSamba服务端配置位于/etc/samba目录参数配置的基本格式是“参数名=参数值”以“#”开头的行表示注释以“;”开头的行表示Samba参数，可忽略[global]workgroup=SAMBAsecurity=user[homes]comment=HomeDirectoriesvalidusers=%S,%D%w%S2Samba主配置文件－全局参数Samba服务端配置全局参数的配置对整个Samba服务器有效“[global]”之后的部分表示全局参数Samba全局参数功能说明workgroup=工作组名称设置工作组名称，使用Samba服务的主机的工作组名称要相同netbiosname=NetBIOSName同一工作组内的主机拥有唯一的NetBIOSNameserverstring=服务器描述信息默认显示Samba版本，改为有实际意义的服务器描述信息interfaces=网络接口指定Samba监听哪些网络接口hostsallow=允许主机列表设置主机白名单，白名单里的主机可以访问Samba服务器资源hostsdeny=禁止主机列表设置主机黑名单，黑名单里的主机禁止访问Samba服务器资源logfile=日志文件名设置Samba服务器上日志文件的存储位置和日志文件名称maxlogsize=最大容量设置日志文件的最大容量，以KB为单位，值为0表示不做限制security=安全性级别设置Samba客户端的身份验证方式2Samba主配置文件－共享参数Samba服务端配置共享参数用来设置共享域的属性共享域的格式是“[共享名]”，表示共享资源对外显示的名称Samba共享参数功能说明comment共享目录的描述信息path共享目录的绝对路径browseable共享目录是否可以浏览public是否允许用户匿名访问共享目录readonly共享目录是否只读writable共享目录是否可写validusers允许访问Samba服务的用户和组invalidusers禁止访问Samba服务的用户和组readlist对共享目录只有读权限的用户和组writelist可以在共享目录内进行写操作的用户和组hostsallow允许访问该Samba服务器的主机IP或网络hostsdeny不允许访问该Samba服务器的主机IP或网络[docs]comment=PublicResourcepath=/ito/pubbrowseable=yeswritable=noadminusers=ssvalidusers=@ito2Samba主配置文件－参数变量Samba服务端配置参数变量就是“占位符”，会被实际的参数值取代Samba参数变量功能说明%S当前服务名%LSamba服务器的NetBIOSName%mSamba客户端的NetBIOSName%hSamba服务器的主机名（hostname）%MSamba客户端的主机名（hostname）%HSamba用户的主目录%ISamba客户端的IP地址%U当前连接Samba服务的用户名%g当前用户所属的用户组%D当前用户所属的域或工作组名称%TSamba服务器的日期与时间%vSamba服务器的版本[homes]comment=HomeDirectorybrowseable=nowritable=yesvalidusers=%S2添加Samba用户Samba服务端配置Samba用户必须对应一个同名的Linux系统用户先创建Linux用户，然后使用smbpasswd命令添加Samba用户[root@centos7~]#useraddsmbuser[root@centos7~]#passwdsmbuser新的密码：

重新输入新的密码：

passwd：所有的身份验证令牌已经成功更新。[root@centos7~]#smbpasswd-asmbuserNewSMBpassword:RetypenewSMBpassword:Addedusersmbuser.smbpasswd[-axden][用户名]选项功能说明-a增加Samba用户并设置密码-x删除Samba用户-d冻结Samba用户-e解冻（恢复）Samba用户-n将Samba用户密码置空密码可以不同3Samba客户端验证3Linux客户端验证－smbclientSamba客户端验证yuminstallsamba-client-y[zys@smbcli~]$smbclient//00/docs-UzsuserEnterSAMBA\zsuser'spassword: <==输入zsuser的Samba密码smb:\>putfile1 <==上传测试文件smb:\>ls <==查看服务器中文件file1A0SunDec419:41:552022smb:\>quit <==退出交互环境3Windows客户端验证－方式一Samba客户端验证依次选择【开始】→【附件】→【运行】选项，弹出【运行】对话框，在【打开】文本框中输入Samba服务器的访问路径3Windows客户端验证－方式二Samba客户端验证右击桌面上的【计算机】图标，在弹出的快捷菜单中选择【映射网络驱动器】选项或者双击【计算机】图标，选择【工具】→【映射网络驱动器】选项。弹出【映射网络驱动器】对话框，输入Samba服务器共享资源的路径任务21NFS服务概述NFS服务配置与管理2NFS服务端配置3NFS客户端验证1NFS服务概述1NFS服务概述NFS服务概述网络文件系统：NetworkFileSystem主流的异构平台共享文件系统，支持用户在不同的系统之间通过网络共享文件NFS服务器是文件资源的实际存放地，NFS客户端能够像访问本地资源一样访问NFS服务器中的文件资源提供透明文件访问以及文件传输服务能发挥数据集中的优势，降低NFS客户端的存储空间需求配置灵活，性能优异，能够根据不同的应用需要灵活调整2NFS服务端配置NFS安装与启停软件名称：nfs-utils后台守护进程：nfs[root@centos7~]#yuminstallrpcbind-y //NFS依赖RPC服务[root@centos7~]#yuminstallnfs-utils-y[root@centos7~]#rpm-qa|grep-E'rpcbind|nfs-utils‘ //安装后检查nfs-utils-1.3.0-0.61.el7.x86_64rpcbind-0.2.0-47.el7.x86_64systemctlstart|stop|restart|status|enablenfs2NFS服务端配置2NFS主配置文件－/etc/exportsNFS服务端配置每一行代表一个共享目录，包括共享目录、客户端和选项3部分共享目录：用绝对路径表示的共享目录名客户端：一个或多个客户端，有多种表示方式选项：表示NFS服务器为NFS客户端提供的共享选项，也就是允许客户端以何种方式使用共享目录[root@centos7~]#vim/etc/exports/datashare0(rw,sync,no_sub_tree)/24(ro)共享目录客户端1(选项1)客户端2(选项2)…客户端2(选项3)2NFS主配置文件－客户端表示方式NFS服务端配置客户端有多种表示方式，可以是单台主机的实际IP地址或IP网段，也可以是完整主机名或域名。其中，主机名还可以使用通配符客户端表示方式含义0指定IP地址对应的客户端/24指定IP网段下的所有客户端指定完整主机名对应的客户端*.指定域名下的所有客户端2NFS主配置文件－选项NFS服务端配置对于同一共享目录，可以为不同的客户端设定不同的共享选项多个共享选项用逗号进行分隔2NFS相关命令－exportfsNFS服务端配置使用exportfs命令在不重启服务的情况下应用新配置选项功能说明-a打开或取消所有目录共享-r重新读取/etc/exportfs文件中的配置并使其立即生效-v当共享或者取消共享时，输出详细信息-u取消一个或多个目录的共享exportfs[-arvu]2NFS相关命令－showmountNFS服务端配置显示NFS服务器文件系统的挂载信息选项功能说明-a显示连接到某NFS服务器的客户端主机名和挂载点目录-d仅显示被客户端挂载的目录名-e显示NFS服务器的共享目录清单showmount[-ade]3NFS客户端验证3NFS客户端验证NFS客户端验证手动挂载：使用mount命令，挂载NFS共享目录mount-tnfs00:/webdata/nfsdata自动挂载：修改/etc/fstab文件，挂载NFS共享目录00:/webdata/nfsdatanfsdefaults00任务31DHCP服务概述DHCP服务配置与管理2DHCP服务端配置3DHCP客户端验证1DHCP服务概述1DHCP的功能DHCP服务概述IP地址分配更加安全可靠非常适合移动办公环境减轻网络管理员的管理负担缓解IP地址资源紧张的问题1DHCP的工作过程DHCP服务概述DHCP客户端以广播方式发送一个DHCP发现报文DHCP服务器收到DHCP发现报文后，从IP地址池中选取一个未租用的IP地址，以DHCP提供报文的形式广播发送给DHCP客户端DHCP客户端收到DHCP提供报文后，以广播方式向DHCP服务器发送DHCP请求报文被选择的DHCP服务器收到DHCP请求报文后，以广播方式向DHCP客户端发送一个DHCP确认报文2DHCP服务端配置DHCP安装与启停软件名称：dhcp后台守护进程：dhcpd[root@centos7~]#yuminstalldhcp-y //一键安装DHCP软件[root@centos7~]#rpm-qa|grepdhcp

//安装后再次检查dhcp-4.2.5-68.el7.centos.1.x86_64dhcp-common-4.2.5-68.el7.centos.1.x86_64dhcp-libs-4.2.5-68.el7.centos.1.x86_64systemctlstart|stop|restart|status|enabledhcpd2DHCP服务端配置2主配置文件－/etc/dhcp/dhcpd.confDHCP服务端配置注释信息以“#”开头，可以出现在文件的任意位置除了右大括号“}”之外，其他每一行都以“;”结尾包括参数、选项和声明三种要素#全局配置参数或选项;

#局部配置声明{

参数或选项;}参数：主要用来设定DHCP服务器和客户端的基本属性，格式是“参数名参数值;”选项：配置分配给DHCP客户端的可选网络参数，以“option”关键字开头，如“option参数名参数值;”声明：以某个关键字开头，后跟一对大括号，用来设置IP地址空间，以及绑定IP地址和DHCP客户端MAC地址2主配置文件－声明DHCP服务端配置subnet声明用于定义IP地址空间host声明实现IP地址和DHCP客户端MAC地址的绑定，用于为DHCP客户端分配固定的IP地址subnet

subnet_id

netmask

netmask{

……}

host

hostname{

……}2主配置文件－参数和选项DHCP服务端配置通过不同的参数和选项为声明指定具体的行为参数或选项说明rangeIP地址池地址范围default-lease-time默认租约时间max-lease-time最大租约时间optiondomain-nameDNS域名optiondomain-name-servers域名服务器optionrouters默认网关optionbroadcast-address子网广播地址fixed-address为客户端分配的固定IP地址hardwareDHCP客户端的MAC地址server-nameDHCP服务器的主机名[root@appsrv~]#vim/etc/dhcp/dhcpd.confsubnetnetmask{range9;range0100;optionrouters54;optiondomain-name"";optiondomain-name-servers00;}

hostclient1{hardwareethernet00:0C:29:B3:41:89;fixed-address88;}3DHCP客户端验证3DHCP客户端验证－Windows客户端DHCP客户端验证3DHCP客户端验证－Linux客户端DHCP客户端验证在网卡配置文件中设置DHCP获取IP地址，重启网络服务[root@dhcpcli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=dhcp#IPADDR=00#PREFIX=24#GATEWAY=#DNS1=[root@dhcpcli~]#systemctlrestartnetwork[root@dhcpcli~]#ifconfigens33ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet

netmask

broadcast55任务41DNS服务概述DNS服务配置与管理2DNS服务端配置3DNS客户端验证1DNS服务概述1主机名和域名DNS服务概述域名：由一串用点号分隔的名称组成的命名空间的名称主机名：计算机在局域网中的唯一的名称域名空间是分级的，最上面一层被称为根域，用“.”表示从根域向下依次划分为顶级域、二级域等子域，最下面一级是主机完全限定域名（FullyQualifiedDomainName，FQDN）是计算机的主机名和域名的组合FQDN主机名域名1域名解析历史DNS服务概述早期，在文件中保存域名和IP地址的对应关系，内容更新不灵活现在，基于分布式数据库的域名系统（DomainNameSystem，DNS），将域名解析的功能分散到不同层级的DNS服务器中，可靠性和灵活性较高[zys@centos7~]$cat/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain61DNS工作原理－分级管理DNS服务概述DNS域名空间是分级的，DNS服务器也是分级每一个DNS服务器只记录管理它的下一级域名的各个DNS服务器的IP地址根域位于最顶层，管理根域的DNS服务器称为根域服务器顶级域位于根域的下一层，顶级域服务器负责管理顶级域名的解析，如.com、.org、.gov、.cn、.usDNS把域名的解析权限层层向下授权给下一级DNS服务器，即分级管理1DNS服务器类型DNS服务概述主DNS服务器（Primary Name Server）对它所管理区域的域名解析提供最权威和最精确的响应，是所管理区域域名信息的初始来源从DNS服务器（Secondary Name Server）主DNS服务器中获得完整的域名信息备份，也可以对外提供权威和精确的域名解析高速缓存DNS服务器（Caching-only Server）把从其他DNS服务器获得的域名信息保存在自己的高速缓存中，从而为用户提供域名解析服务转发DNS服务器（ForwarderNameServer）优先从本地缓存中查找，如果没有的话就把请求转发给其他DNS服务器2DNS服务端配置DNS安装与启停软件名称：bind后台守护进程：named[root@centos7~]#

yuminstallbind-y[root@centos7~]#rpm-qa|grepbindbind-9.11.4-26.P2.el7.x86_64bind-utils-9.11.4-26.P2.el7.x86_64systemctlstart|stop|restart|status|enablenamed2DNS服务端配置2配置文件的关系DNS服务端配置全局配置文件通过include指示符指定主配置文件主配置文件的zone声明中，通过file选项指定区域文件2全局配置文件－/etc/named.confDNS服务端配置options配置段的配置项对整个DNS服务器有效zone声明用来定义区域，的“.”表示根域。一般在主配置后面文件中定义区域信息include指示符用来引入其他相关配置文件。一般不使用默认的主配置文件，而是根据实际需要创建新的主配置文件options{

listen-onport53{;};

directory "/var/named";};

logging{……};

zone"."IN{

typehint;

file"named.ca";};

include"/etc/named.rfc1912.zones";include"/etc/named.root.key";2全局配置文件－options配置段DNS服务端配置listenonport：指定named守护进程监听的端口和IP地址directory：指定DNS守护进程的工作目录allow-query：指定允许哪些主机发起域名解析请求forward：有only和first两个值。值为only表示将DNS服务器配置为高速缓存服务器，值为first表示先请求转发服务器解析。如果转发服务器无法解析就自己尝试解析forwarders：指定转发DNS服务器，可以将DNS查询请求转发给这些转发DNS服务器进行处理2主配置文件－/etc/named.rfc1912.zonesDNS服务端配置在全局配置文件中通过include指导符引入通过zone声明设置区域相关信息，包括正向区域和反向区域正向和反向解析区域的zone声明格式相同a.b.c网段对应的反向区域名为zone声明的关键属性type：DNS服务器的类型file：区域配置文件allow-update：允许更新区域信息的从DNS服务器地址masters：主服务器地址，当type的值取slave时有效zone"区域名称“IN{

typeDNS服务器类型;

file"区域文件名";

allow-update{none;};

masters{主域名服务器地址;}};2正向区域文件DNS服务端配置位于/var/named目录，从named.localhost中复制cp-pnamed.localhost资源类型NS：区域的DNS服务器地址MX：区域的邮件服务器A：域名和IP地址的对应关系CNAME：A资源记录别名NS @A 00@ IN MX 10 .www IN A 00mail IN A 10web IN CNAME .2反向区域文件DNS服务端配置位于/var/named目录，从named.loopback中复制cp-pnamed.loopbacknamed.192.168.100资源类型PTR：IP地址和域名的对应关系，用于DNS反向解析NS @A 00@ IN MX 10 .100 IN PTR .3DNS客户端验证3客户端验证DNS客户端验证[root@dnscli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=noneONBOOT=yesIPADDR=10PREFIX=24GATEWAY=DNS1=00[root@dnscli~]#systemctlrestartnetwork[root@dnscli~]#cat/etc/resolv.confnameserver00Windows客户端Linux客户端任务51Web服务概述Web服务配置与管理2Web服务端配置3配置虚拟主机1Web服务概述1Web服务简介Web服务概述当今人们获取和传播信息的主要方式之一Web服务提供的资源多种多样，可能是简单的文本，也可能是图片、音频和视频等多媒体数据常用的浏览器有谷歌公司的Chrome、InternetExplorer，以及Firefox等手机等移动设备成为Web服务的主要入口1Web服务工作过程Web服务概述客户机/服务器模式，运行于TCP协议之上工作过程连接过程：浏览器和Web服务器之间建立TCP连接请求过程：浏览器向Web服务器发出资源查询请求应答过程：Web服务器根据URL把相应的资源返回给浏览器，浏览器则以网页的形式把资源展示给用户关闭连接：应答过程完成以后，浏览器和Web服务器之间断开连接1Web相关技术－HTTPWeb服务概述超文本传输协议（HyperTextTransferProtocol，HTTP）：浏览器和Web服务器通信时所使用的应用层协议规定浏览器和Web服务器之间可以发送什么类型的消息、每种消息的语法和语义、收发消息的顺序等内容HTTP是一种无状态协议，即Web服务器不会保留与浏览器之间的会话状态。这种设计可以减轻Web服务器的处理负担，加快响应速度HTTP规范定义了9种请求方法，每种请求方法规定了浏览器和服务器之间不同的信息交换方式，最常用的请求方法是GET和POST1Web相关技术－HTMLWeb服务概述超文本标记语言（HypertextMarkupLanguage，HTML）：由一系列标签组成的一种描述性语言主要用来描述网页的内容和格式。网页上的不同内容，如文字，图形、动画、声音、表格、超链接等，都可以用HTML标签来表示“超文本”是一种组织和管理信息的方式，通过超链接将文本中的文字、图表与其他信息关联通过超文本这种方式可以将分散的资源整合在一起，方便用户浏览、检索信息2Web服务端配置Web安装与启停软件名称：httpd后台守护进程：httpd[root@centos7~]#yuminstallhttpd-y //安装Apache软件[root@centos7~]#yuminstallfirefox-y //安装Firefox浏览器[root@centos7~]#rpm-qa|grephttpdhttpd-2.4.6-88.el7.centos.x86_64httpd-tools-2.4.6-88.el7.centos.x86_64systemctlstart|stop|restart|status|enablehttpd2Web服务端配置Web安装后验证在Firefox浏览器中输入2Web服务端配置2Web服务主配置文件Web服务端配置/etc/httpd/conf/httpd.conf安装后大部分说明行或空行注释以“#”开头配置前先对文件进行备份，过滤掉所有的说明行，只保留有效配置包含一些单行的指令和配置段指令的语法是“参数名参数值”配置段是用一对标签表示的选项[root@centos7~]#cd/etc/httpd/conf[root@centos7conf]#mvhttpd.confhttpd.conf.bak[root@centos7conf]#grep-v‘^#'httpd.conf.bak>httpd.conf[root@centos7conf]#cathttpd.confServerRoot"/etc/httpd"<==单行指令Listen80……<Directory/><==配置段AllowOverridenoneRequirealldenied</Directory>……DocumentRoot"/var/www/html"……2主配置文件参数Web服务端配置ServerRoot：设置Apache的服务目录，默认是/etc/httpdDocumentRoot：网站数据的根目录。一般来说，除了虚拟目录，Web服务器上存储的网站资源都在这个目录下，默认值是/var/www/htmlListen：指定Apache的监听IP地址和端口，默认工作端口是80User和Group：指定运行Apache服务的用户和组，默认都是apacheServerAdmin：指定网站管理员的邮箱ServerName：指定Apache服务器的主机名2主配置文件参数Web服务端配置ErrorLog：指定Apache的错误日志文件，默认是logs/error_logCustomLog：指定Apache的访问日志文件，默认是logs/access_logLogLevel：指定日志信息级别，也就是在日志文件中写入哪些日志信息TimeOut：网页超时时间。Web客户端在发送和接受数据时，如果连线时间超过这个时间，就自动断开连接，默认是300秒Directory：设置服务器上资源目录的路径、权限及其他相关属性DirectoryIndex：指定网站的首页，默认的首页文件是index.htmlMaxClients：指定网站的最大连接数，即Web服务器可以允许多少客户端同时连接3配置虚拟主机3虚拟主机概述配置虚拟主机主要功能：在一台物理主机上搭建多个网站减少搭建Web服务器的硬件投入，降低网站维护成本基于IP地址的虚拟主机：为Web服务器设置多个IP地址，通过IP地址访问网站基于域名的虚拟主机：为Web服务器设置多个域名，通过域名区分基于端口号的虚拟主机：虚拟主机之间通过不同的端口号区分3基于IP地址的虚拟主机配置虚拟主机第1步：为服务器分配两个IP地址[root@centos7~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33IPADDR0=00PREFIX0=24GATEWAY0=IPADDR1=01PREFIX1=24GATEWAY1=DNS1=00[root@centos7~]#systemctlrestartnetwork为Web服务器分配两个IP地址，分别为00和01例3基于IP地址的虚拟主机配置虚拟主机第2步：为两台虚拟主机分别创建文档根目录和首页文件，并修改权限[root@centos7~]#mkdir-p/siso/www1[root@centos7~]#mkdir-p/siso/www2[root@centos7~]#chmodo+rx/siso/www1[root@centos7~]#chmodo+rx/siso/www2[root@centos7~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@centos7~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html为Web服务器分配两个IP地址，分别为00和01例[root@centos7~]#mkdir-p/siso/www1[root@centos7~]#mkdir-p/siso/www2[root@centos7~]#chmodo+rx/siso/www1[root@centos7~]#chmodo+rx/siso/www2[root@centos7~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@centos7~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html3基于IP地址的虚拟主机配置虚拟主机第3步：新建虚拟机配置文件，指定虚拟机文档根目录[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1<Directory/>AllowOverridenoneRequireallgranted</Directory></Virtualhost>

#第2台虚拟机类似为Web服务器分配两个IP地址，分别为00和01例3基于IP地址的虚拟主机配置虚拟主机第4步：重启Web服务，在浏览器中验证为Web服务器分配两个IP地址，分别为00和01例3基于域名的虚拟主机配置虚拟主机第1步：配置DNS服务，添加两个域名，重启DNS服务[root@centos7~]#vim/var/named/www1 IN A 00www2 IN A 00[root@centos7~]#systemctlrestartnamed例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和第2步：为两台虚拟主机分别创建文档根目录和首页文件，并修改权限。与上例完全相同3基于域名的虚拟主机配置虚拟主机第3步：修改虚拟机配置文件相关内容[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1ServerName</Virtualhost>

<Virtualhost00>DocumentRoot/siso/www2ServerName</Virtualhost>例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和3基于域名的虚拟主机配置虚拟主机第4步：重启Apache服务，检查防火墙和SELinux的设置，在浏览器中验证例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和3基于端口的虚拟主机配置虚拟主机第1步：为两台虚拟主机分别创建文档根目录和首页文件、修改权限[root@centos7~]#mkdir-p/siso/www8080[root@centos7~]#mkdir-p/siso/www8090[root@centos7~]#chmodo+rx/siso/www8080[root@centos7~]#chmodo+rx/siso/www8090[root@centos7~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@centos7~]#echo"www8090'shomepage...">/siso/www8090/index.html例虚拟机IP地址为00，配置基于端口的虚拟主机，端口分别是8080和8090，文档根目录分别是/siso/www8080和/siso/www8090第2步：在Apache主配置文件中，启用8080和8090两个监听端口[root@centos7~]#vim/etc/httpd/conf/httpd.confListen8080Listen8090[root@centos7~]#mkdir-p/siso/www8080[root@centos7~]#mkdir-p/siso/www8090[root@centos7~]#chmodo+rx/siso/www8080[root@centos7~]#chmodo+rx/siso/www8090[root@centos7~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@centos7~]#echo"www8090'shomepage...">/siso/www8090/index.html3基于端口的虚拟主机配置虚拟主机第3步：修改虚拟机配置文件相关内容[root@centos7~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00:8080>DocumentRoot/siso/www8080</Virtualhost>

<Virtualhost00:8090>DocumentRoot/siso/www8090</Virtualhost>例虚拟机IP地址为00，配置基于端口的虚拟主机，端口分别是8080和8090，文档根目录分别是/siso/www8080和/siso/www80903基于端口的虚拟主机配置虚拟主机第4步：重启Apache服务，检查防火墙和SELinux的设置，在浏览器中验证例虚拟机IP地址为00，配置基于端口的虚拟主机，端口分别是8080和8090，文档根目录分别是/siso/www8080和/siso/www8090任务61FTP服务概述FTP服务配置与管理2FTP服务端配置3配置不同FTP用户1FTP服务概述1FTP服务简介FTP服务概述历史悠久，是应用最广泛的应用层协议运行于TCP之上，文件传输可靠，跨平台、跨系统采用客户机/服务器模式，上传和下载文件方便登录用户类型：匿名用户：没有对应的系统账户，可以访问公开的、没有版权和保密性要求的文件本地用户：实际存在的操作系统用户，以本地用户身份登录FTP服务器虚拟用户：可以使用FTP服务但不能登录操作系统，登录时被映射为实际的操作系统用户1FTP运行模式－主动模式FTP服务概述控制信道的发起方是FTP客户端，数据信道的发起方是FTP服务器容易受到防火墙和NAT的影响连接建立过程：客户端选择端口PortA与服务器的21端口建立TCP连接FTP客户端随机启用端口PortB，通过控制信道通知服务器采用主动模式，以及端口PortB服务器用20端口与客户端的PortB建立TCP连接1FTP运行模式－被动模式FTP服务概述控制信道的发起方是FTP客户端，数据信道的发起方也是FTP客户端客户端很可能不能使用被动模式与位于防火墙后方或内网的服务器建立数据连接连接建立过程：客户端选择PortA与服务器的21端口建立TCP连接客户端通过控制信道通知FTP服务器采用被动模式FTP服务器随机启用端口PortP，并通过控制信道将这个端口告知FTP客户端客户端随机使用PortB与服务器的PortP建立TCP连接2FTP服务端配置FTP安装与启停软件名称：vsftpd后台守护进程：vsftpd[root@centos7~]#yuminstallvsftpd-y//安装vsftpd软件[root@centos7~]#

rpm-qa|grepvsftpdvsftpd-3.0.2-28.el7.x86_64systemctlstart|stop|restart|status|enablevsftpd客户端软件名称：ftp[root@centos7~]#yuminstallftp-y//安装ftp软件2FTP服务端配置2FTP服务主配置文件FTP服务端配置/etc/vsftpd/vsftpd.conf注释以“#”开头先对文件进行备份，然后过滤掉所有以“#”开头的行，只保留有效的行包含单行指令和配置段语法是“参数名=参数值”“=”前后不能有空格[root@centos7~]#cd/etc/vsftpd[root@centos7vsftpd]#

mvvsftpd.confvsftpd.conf.bak[root@centos7vsftpd]#grep-v‘^#'vsftpd.conf.bak>vsftpd.conf[root@centos7vsftpd]#catvsftpd.confanonymous_enable=YESlocal_enable=YESwrite_enable=YES2FTP全局参数FTP服务端配置全局参数对三种类型的登录用户都适用FTP全局参数功能说明listen指定FTP服务是否以独立方式运行，默认为NOlisten_address指定在独立方式下FTP服务的监听地址listen_port指定在独立方式下FTP服务的监听端口，默认是21max_clients指定最大的客户端连接数，值为0表示不限制max_per_ip指定同一IP地址可以发起的最大连接数，值为0表示不限制port_enable指定是否允许主动模式，默认为YESpasv_enable指定是否允许被动模式，默认为YESwrite_enable指定是否允许用户上传文件、新建目录、删除文件和目录等操作，默认为NOdownload_enable指定是否允许用户下载文件，默认为YESvsftpd_log_filevsftpd进程的日志文件，默认是/var/log/vsftpd.log3配置不同FTP用户3FTP用户登录－匿名用户配置不同FTP用户要特别注意控制匿名用户的访问权限和根目录匿名用户相关参数功能说明anonymous_enable是否允许匿名用户登录，默认为YESanon_root匿名用户登录后使用的根目录。这里的根目录是指匿名用户的主目录，而不是文件系统的根目录“/”ftp_username匿名用户登录后具有哪个用户的权限，默认是ftpno_anon_password如果设为YES，那么vsftpd服务不会向匿名用户询问密码。默认为NOanon_upload_enable是否允许匿名用户上传文件，默认为NOanon_mkdir_write_enable是否允许匿名用户创建目录anon_umask匿名用户上传文件时使用的umask值，默认为077anon_other_write_enable是否允许匿名用户执行除上传文件和创建目录之外的写操作。默认为NOanon_max_rate指定匿名用户的最大传输速率，单位是字节/秒，值为0表示不限制第1步：在FTP服务器上创建根目录，在根目录下新建测试文件file1.100例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[root@centos7~]#mkdir-p/var/anon_ftp[root@centos7~]#ls-ld/var/anon_ftpdrwxr-xr-x. 2 rootroot 6 12月520:13 /var/anon_ftp[root@centos7~]#touch/var/anon_ftp/file1.100第2步：修改vsftpd主配置文件例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[root@centos7~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允许匿名登录anon_root=/var/anon_ftp <==匿名用户根目录write_enable=NO <==全局参数，不允许写操作第3步：重启FTP服务，修改防火墙和SELinux设置第4步：登录FTP客户端，在/tmp目录中新建测试文件file1.110[zys@centos7~]$cd/tmp[zys@centos7tmp]$touchfile1.110[root@centos7~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允许匿名登录anon_root=/var/anon_ftp <==匿名用户根目录write_enable=NO <==全局参数，不允许写操作第5步：在客户端使用ftp命令连接FTP服务器并查询服务器端测试文件例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[zys@centos7tmp]$ftp00Name(00:zys):ftp<==输入匿名用户的登录身份Password:<==提示输入密码，这里直接按Enter键即可230Loginsuccessful. <==登录成功ftp>pwd<==查看当前工作目录257"/"ftp>ls<==使用ls命令查看文件-rw-r--r--100 0Dec0512:14 file1.100ftp>第6步：测试匿名用户的文件上传和下载权限。从服务器下载file1.100文件时操作成功，但上传file1.110文件时提示“550Permissiondenied”，即没有权限执行上传操作例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户ftp>getfile1.100226Transfercomplete.ftp>putfile1.110550Permissiondenied.ftp>quit3FTP用户登录－本地用户配置不同FTP用户推荐的做法是允许本地用户使用FTP服务，但是不能登录操作系统，这样可以降低账号密码泄露带来的系统风险本地用户相关参数功能说明local_enable是否允许本地用户登录FTP服务器，默认为NOlocal_max_rate指定本地用户的最大传输速率，单位是字节/秒，值为0表示不限制。默认为0local_umask本地用户上传文件时使用的umask值，默认为077local_root本地用户登录后使用的根目录chroot_local_user是否将用户锁定在根目录，默认为NOchroot_list_enable指定是否启用chroot用户列表文件，默认为NOchroot_list_file用户列表文件。根据chroot_list_enable的设置，文件中的用户可能被chroot，也可能不被chroot3FTP用户登录－本地用户chroot配置不同FTP用户被chroot的用户登录FTP服务器后将被锁定在自己的根目录内chroot_local_user用来设置是否将用户锁定在根目录chroot_list_enable和chroot_list_file两个参数指定一个文件，文件中的用户作为默认设置的“例外”而存在。如果默认设置是锁定所有用户的根目录，那么文件中的用户将不被锁定，反之亦然

chroot_local_user=NOchroot_local_user=YESchroot_list_enable=NO所有用户都不被chroot所有用户都被chrootchroot_list_enable=YES所有用户都不被chroot。chroot_list_file文件指定的用户是例外，被chroot所有用户都被chroot。chroot_list_file文件指定的用户是例外，不被chroot第1步：确保系统中存在本地用户ss和zys。在FTP服务器中新建目录/siso/ito及两个测试文件例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@centos7~]#idssuid=1237(ss)gid=1237(ss)组=1237(ss),1003(devteam1),1004(devteam2)[root@centos7~]#

idzysuid=1000(zys)gid=1000(zys)组=1000(zys),1002(devteam)[root@centos7~]#mkdir-p/siso/ito[root@centos7~]#

ls-ld/siso/itodrwxr-xr-x. 2 rootroot40 12月520:37 /siso/ito[root@centos7~]#touch/siso/ito/file2.100 //新建服务器端测试文件[root@centos7~]#touch/siso/ito/file3.100第2步：修改主配置文件，设置两个的读写权限及chroot。重启FTP服务例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@centos7~]#vim/etc/vsftpd/vsftpd.confwrite_enable=YES <==允许用户写入download_enable=YES<==允许用户下载local_enable=YES <==允许本地用户登录FTP服务器local_root=/siso/ito <==本地用户根目录chroot_local_user=YES<==所有用户默认被chrootchroot_list_enable=YES<==启用例外用户chroot_list_file=/etc/vsftpd/chroot_list <==例外用户列表文件[root@centos7~]#systemctlrestartvsftpd第3步：新建例外用户列表文件/etc/vsftpd/chroot_list，添加用户ss例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@centos7~]#vim/etc/vsftpd/chroot_listss<==只添加ss一个用户第4步：修改防火墙和SELinux设置第5步：在FTP客户端中新建测试文件file2.110和file3.110[zys@centos7~]$cd/tmp[zys@centos7tmp]$touchfile2.110file3.110第6步：在FTP客户端中使用用户zys登录FTP服务器，测试能否更改目录例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[zys@centos7tmp]$ftp00Name(00:zys):zys <==输入用户名zysPassword: <==输入用户zys的密码230Loginsuccessful.ftp>pwd

<==查看当前目录257"/" <==即/siso/itoftp>cd/siso <==更改目录550Failedtochangedirectory. <==更改目录失败ftp>

ls

<==查看目录内容-rw-r--r--10 0 0 Nov2811:46 file2.100-rw-r--r--10 0 0 Nov2812:34 file3.100ftp>第7步：继续测试下载和上传操作。用户zys可以下载文件，但是上传文件时系统提示“553Couldnotcreatefile”，即无权限创建文件例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户ftp>getfile2.100 <==下载文件226Transfercomplete.ftp>putfile2.110 <==上传文件553Couldnotcreatefile. <==上传文件失败ftp>quit

注意：一般从两个方面检查：一，检查主配置文件中是否开放了相应的权限二，检查FTP服务器的相应目录是否开放写权限第8步：在主配置文件中，已经设置为允许本地用户上传文件。但是/siso/ito目录权限是rwxr-xr-x，没有对zys开放写权限。可以直接赋予zys写权限，也可以修改/siso/ito目录的所有者和属组例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@centos7~]#chmodo+w/siso/ito

//或chownzys/siso/ito[root@centos7~]#

ls-ld/siso/itodrwxr-xrwx. 2 rootroot 4012月520:37 /siso/ito例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第9步：修改完之后继续测试，登录FTP服务器时出现新错误[zys@centos7tmp]$ftp00Name(00:zys):zysPassword: 500OOPS:vsftpd:refusingtorunwithwritablerootinsidechroot()Loginfailed.421Servicenotavailable,remoteserverhasclosedconnectionftp>quit注意：如果用户被chroot，就不能再对主目录具有写权限例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第10步：在主配置文件中设置allow_writeable_chroot参数，重启FTP服务[root@centos7~]#vim/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES <==增加这一行，允许对主目录的写操作[root@centos7~]#systemctlrestartvsftpd例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第11步：重新登录服务器，再次尝试上传文件，现在文件上传成功[zys@centos7tmp]$

ftp00Name(00:zys):zysPassword:230

Loginsuccessful. <==登录成功ftp>putfile2.110226Transfercomplete. <==文件上传成功ftp>

ls-rw-r--r--1 0 0 0 Dec0512:37 file2.100-rw-r--r--1 1000 1000 0 Dec0513:00 file2.110-rw-r--r--1 0 0 0 Dec0512:37 file3.100ftp>quit例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第12步：在FTP客户端中使用用户ss进行以上测试