企业级Linux服务攻略 总结
公司这有几本关于Linux的书籍,其中有一本是企业级Linux服务攻略,而这些天正好我没事,我就开始研究企业级Linux服务攻略来,刚开始阅读时有点排斥,但我还是把它读了一遍,虽然有些知识点还没明白透,但我的目标不是专研,而是大概了解,为将来的需要提供一定的基础。好了,开始我对企业级Linux服务攻略的总结之旅!~第一章:Linux 服务器的搭建与测试1.1 Linux的安装详细
公司这有几本关于Linux的书籍,其中有一本是企业级Linux服务攻略,而这些天正好我没事,我就开始研究企业级Linux服务攻略来,刚开始阅读时有点排斥,但我还是把它读了一遍,虽然有些知识点还没明白透,但我的目标不是专研,而是大概了解,为将来的需要提供一定的基础。
好了,开始我对企业级Linux服务攻略的总结之旅!~
第一章:Linux 服务器的搭建与测试
1.1 Linux的安装
详细讲解了 Red Hat Enterprise Linux 5的安装
1.2 常规网络配置
vi /etc/sysconfig/network ---> HOSTNAME=REAL5 ---> 设置主机名
hostname 查看主机名
ifconfig 网卡名 ip地址 netmask 子网掩码 ---> 设置ip地址
ifconfig --->查看ip地址
ifconfig 网卡名:虚拟网卡 id ip地址 netmask 子网掩码 --->设置辅助ip地址
ifconfig 网卡名称 down/up 禁用/启动网卡
ifconfig 网卡名 hw ether MAC 地址 --->更改网卡MAC地址
route add/del default gw ip 地址 ---->添加/删除默认网关
ping ip地址 测试网络连通性
netstat 命令
nslookup 域名/ip地址 测试解析
第二章: Samba 服务
2.1 Samba 原理
2.2 安装Samba 服务
rpm -qa|grep samba
rpm -ivh samba-3.0.23c-2.i386.rpm
2,3 Samba 常规服务器配置
workgroup = RHEL5 --->设置Samba服务器的工作组为RHEL5
server string = RHEL5 file Server 设置Samba简要说明
示例:Samba服务器有一个目录为/share,需要发布该目录成为共享目录,定义共享名为public,
comment = share
path = /share
public = yes
log file = /var/log/samba/%m.log 日志
service smb start/stop/restart/reload 服务的启动/停止/重新开始/重新加载
share 服务器实例及详解
案例:公司现有一个工作组Workgroup,需要添加Samba服务器作为文件服务器,并发布共享目录/share,共享名为public,此共享目录所有员工访问。
1、修改Samba 主配置文件
vi /etc/samba/smb.conf
[global]
workgroup = Workgroup设置工作组名
server string = file server添加服务器注释内容
security = share安全级别
log file = /var/log/samba/%m.log日志
max log size = 50
[public]
comment = public
pathc = /share
public = yes
2、重新加载配置
service smb restart
service smb reload
案例:公司现有多个部门,因工作需要,将销售部的资料存放在Samba服务器的/sales目录中,集中管理,以便销售人员浏览,并且该目录只允许销售部员访问。
1、添加销售部用户和组
groupadd sales
useradd -g sales sale1
useradd -g sales sale2
passwd sale1
passwd sale2
2、修改Samba主配置文件 smb.conf
vi /etc/samba/smb.conf
[global]
workgroup = Workgroup设置工作组名
server string = file server添加服务器注释内容
security = user安全级别
log file = /var/log/samba/%m.log日志
max log size = 50
[sales]
comment = sales
pathc = /sales
valid users = @sales
3、重新加载配置
service smb restart
service smb reload
2.4 Samba 高级服务器配置
示例:公司内部Samba服务器上共享了一个目录sales,该目录文件为销售部的共享目录,公司规定10.0.0.0/8 这个网段的ip地址都不能访问该共享目录,但是10.0.0.2 这个ip地址可以访问。
对于这些要求,可以编辑smb.conf,如下所示:
vi /etc/samba/smb.conf
把 security = user 改为 security = share,并添加hosts deny 和host allow字段。如下
[sales]
path = /sales
writable = yes
hosts deny = 10.
hosts allow = 10.0.0.2
2.5 Samba 客户端配置
smbclient -L 目标ip地址或主机名 -U 登陆用户名%密码 ---》查看服务器共享了什么目录
mount -t cifs //目标ip或主机名/共享目录名 挂载点 -o username = 用户名 ---》挂载共享目录
2.6 Samba的打印共享
1、设置global配置项
2、设置printers配置项
2.7 Samba企业实战和应用 (略)
第三章:DHCP服务
3.1 DHCP原理(略)
3.2 安装DHCP服务(略)
3.3 DHCP常规服务器配置
vi /etc/dhcpd.conf
#全局配置
ddns-update-style interim
ignore client-updates;
#局部配置
subnet 192.168.0.0 netmask 255.255.255.0
{
option routers 192.168.0.1
option subnet-mask 255.255.255.0
option nis-domain "domain.org"
option domain-name "domain.org"
option domain-name-servers 192.168.1.1
option time-offset -18000
range dynamic-bootp 192.168.0.128 192.168.0.254
default-lease-time 21600;
max-lease-time 43200;
host ns
{
next-server marvin.Red Hat.com
hardware ethernet 12:34:56:78:AB:CD
fixed-address 207.175.42.254
}
}
案例:技术部拥有60台计算机,所使用的ip地址段为192.168.1.1 ~ 192.168.1.254,子网掩码为255.255.255.0,网关为192.168.1.1,192.168.1.2~192.168.1.30给各服务器使用,客户端仅可以使用192.168.1.100~192.168.1.200.剩余ip地址保留。
vi /etc/dhcpd.conf
ddns-update-style none 设置动态dns的更新方式
ignore client-updates 忽略客户端更新
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1
option subnet-mask 255.255.255.0
range dynamic-bootp 192.168.1.100 192.168.1.200
default-lease-time 43200
max-lease-time 86400 设置客户端最大地址租约时间
}
案例:产品研发部有200台计算机,准备采用192.168.20.0/24网段给该部门使用,由于手动配置工作量较大,所以管理员准备使用一台Linux系统搭建DHCP服务器。
其中路由器ip地址为192.168.20.1,DNS服务器ip地址为192.168.20.2,DHCP服务器为192.168.20.3,其他人使用192.168.20.30-192.168.20.254,子网掩码均为255.255.255.0。但是部门经理所使用的ip地址为固定ip 192.168.20.88,副经理也使用固定ip地址192.168.20.60.
1、编辑主配置文件dhcpd.conf
vi /etc/dhcpd.conf
ddns-update-style none
ignore client-updates
subnet 192.168.20.0 netmask 255.255.255.0
{
option routers 192.168.20.1
option subnet-mask 255.255.255.0
option domain-name-servers 192.168.20.2
range dynamic-bootp 192.168.20.30 192.168.20.254
default-lease-time 43200
max-lease-time 86400
host boss1
{
hardware ethernet 00:50:56:c0:00:01
fixed-address 192.168.20.88
}
host boss2
{
hardware ethernet 00:0c:29:4e:c0:68
fixed-address 192.168.20.66
}
}
2、重启dhcpd服务
service dhcpd restart
第四章:DNS服务
案例:技术部所在域“tech.org”,部门内有3台主机,主机名分别为client1.tech.org、client2.tech.org和client3.tech.org。先要求dns服务器dns.tech.org可以解析3台主机名和ip地址的对应关系。
1、建立主配置文件named.conf
touch /etc/named.conf
2、设置named.conf文件并添加“tech.org”区域
option { directory "/var/named" }
zone "tech.org"
{
type master
file "tech.org"
}
3、建立“tech.org”的区域文件
touch /var/named/tech.org
4、配置 “tech.org”区域文件,并添加资源记录
vi /var/named/tech.org
……
案例:企业采用多个区域管理各部门的网络,技术部属于“tech.apple”域,市场部属于“.mart.apple”域,其他人员属于“.freedom.apple”域,技术部门共有200人,采用的ip地址为 192.168.1.1-192.168.1.200。市场部共有100人,采用的ip地址为192.168.2.1-192.168.2.150。其他人员共有50人,采用的ip地址为192.168.3.1-192.168.3.50。现采用一个RHEL5主机搭建DNS服务器,其ip地址为192.168.1.254。要求这台DNS服务器可以完成内网所有区域的正反向解析,并所有员工均可以访问外网地址。
1、建立主配置文件 named.conf
touch /etc/named.conf
2、设置named.conf文件并添加需要解析的区域
option { directory "/var/named"}
zone "."
{
type hint
file "named.root"
}
zone "tech.apple"
{
type master
file " tech.apple"
}
zone "1.168.192.in-addr.arpa"
{
type master
file "1.168.192"
}
……
3、建立7个区域对应的区域文件
touch /var/named/ named.root
touch /var/named/ tech.apple
touch /var/named/ mart.apple
touch /var/named/ freedom.apple
touch /var/named/ 1.168.192
touch /var/named/ 2.168.192
touch /var/named/ 3.168.192
4、分别配置7个区域文件,并添加相应的资源记录
cp /usr/share/doc/bind-9.3.3/sample/var/named/named.root/var/named/ 建立根区域
vi /var/named/ tech.apple 配置正向解析区域
……
案例:公司提供虚拟主机服务,所有主机后缀名为test.com。随着虚拟主机注册量大幅增加,DNS查询速度明显变慢,并且域名的管理维护工作非常困难。
1、父域设置区域委派
vi /etc/named.conf 添加test.com的区域记录
options {
directory "/var/named"
recursion yes
}
zone "." IN {
type hint
file "named.ca"
}
zone "test.com" IN{
type master;
file "test.com.zone"
}
2、添加test.com区域文件
……
option
{
directory "/var/named"
datasize 80M
recursion yes
}
zone "." IN
{
type hint
file "named.ca"
}
第五章: Sendmail服务
案例:企业内部需要建立内部使用的邮件服务器,准备在Linux系统上架设Sendmail。现在内部所使用的网段是192.168.1.0/24网段,企业内部采用team.apple作为内部域名进行管理,并配备DNS服务器,DNS服务器地址是192.168.1.1,Sendmail服务器地址是192.168.1.25。现要求内部员工可以使用Sendmail自由收发内部信件。
1、配置DNS服务器team.apple的区域文件
2、编辑sendmail.mc,修改smtp侦听网段的范围。
3、使用vi编辑器修改local-host-names 文件,添加域名以及主机名。
4、建立用户
5、重新启动Sendmail服务
案例:目前公司采用两个网段和两个域来分别管理内部员工,它们分别是"team1.apple" 域采用192.168.1.0/24网段,“team2.apple” 域采用192.168.2.0/24网段,DNS服务器地址为192.168.3.1,Sendmail服务器地址是192.168.3.25。现需要做到一下几点:1、员工可以自由收发内部邮件,并且可以通过邮件服务器往外发信。2、设置两个邮件群组team1和team2,确保发送给team1的邮件“team1.apple”域的成员都可以接收到,发送给team2的邮件“team2.apple”域的成员都可以接受到。3、禁止待客室的主机192.168.1.254 使用sendmail服务器。
1、DNS设置
2、设置sendmail.cm文件并生成新的sendmail.cf
3、设置local-host-names 文件。
4、群发设置
5、设置access文件
6、重启服务
第六章:FTP服务
案例:公司内部现有一台FTP和Web服务器,FTP的功能主要用于维护公司的网站内容,包括上传文件、创建目录、更新网页等。公司现有两个部门负责维护任务,他们分别适用team1和team2帐号进行管理,先要求仅允许team1和team2帐号登陆ftp服务器,但不能登陆本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。
1、建立team1和team2帐号,并禁止本地登陆。
useradd -s /sbin/nologin team1
useradd -s /sbin/nologin team2
……
2、编辑vsftpd.conf文件,并作相应修改
vi /vtc/vsfiltpd/vsftpd.conf
anonymous_enable = NO
local_enable = YES
local_root = /var/www/html
chroot_list_enable = YES
chroot_list_file = /etc/vsftpd/chroot_list
3、建立/etc/vsftpd/chroot_list文件,并将team1和team2帐号添加在文件中。
4、重启服务。
service vsftpd restart
5、修改本地权限
chmod -R o+w /var/www/html
ls -ld /var/www/html/
6、测试
ftp 192.168.1.88
第七章:Web服务
案例:部门内部需要搭建一台Web服务器,采用的ip地址和端口为192.168.1.80:80,首页采用index.html文件,管理员E-mail地址为root@ice.apple,网页的编码类型采用GB2312。所有的网站资源放置在/var/www/html 目录下。并将Apache的根目录设置为/etc/httpd目录。
1、修改主配置文件http.conf
vi httpd.conf
serverRoot "/etc/httpd"
Timeout 180
Listen 80
ServerAdmin root@ice.apple
ServerName 192.168.1.80:80
DocumentRoot "/var/www/html"
DirectoryIndex index.html
AddDefaultCharset GB22312
2、重新启动httpd 服务
service httpd restart
3、将制作好的网页以及多媒体资源放置在文档目录/var/www/html中
4、测试
案例:公司Web服务器域名为www.rainbow.com,ip地址为192.168.1.10,现决定添加两个站点bbs.rainbow.com以及www.rain.com,通过虚拟主机实现该功能。
1、设置ip地址
ifconfg eth0:0 192.168.1.11 netmask 255.255.255.0
ifconfg eth0:1 192.168.1.12 netmask 255.255.255.0
2、修改配置文件hhtpd.conf
添加虚拟主机相关字段
<VirtualHost 192.168.1.10:80>
DocumentRoot /var/www/html/www.rainbow.com
ServerName www.rainbow.com
</VirtualHost>
……
3、建立相应的目录
mkdir /var/www/html/bbs.rainbow.com
mkdir /var/www/html/www.rainbow.com
……
4、修改权限
chmod -R 755 /var/www/html/bbs.rainbow.com/
chmod -R 755 /var/www/html/www.rain.com/
5、测试
第八章:iptables
示例:查看nat表中所有链的规则
iptables -t nat -L
示例:查看filter表中FORWARD链的规则
iptables -L FORWARD
实例:为filter表的INPUT链添加一条规则,规则为拒绝所有使用ICMP协议的数据包。
iptables -A INPUT -p icmp -j DROP
iptables -L INPUT
实例:为filter表的INPUT链添加一条规则,规则为允许访问TCP协议的80端口的数据包通过。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -L INPUT
示例:清除filter表中INPUT链的所有规则
iptables -F INPUT
iptables -L INPUT
示例:禁止员工访问域名为www.xxx.org的网站
iptables -A FORWARD -d www.xxx.org -j DROP
iptables -L FORWARD
示例:禁止员工访问ip地址为202.1.2.3的网站
iptables -A FORWARD -d 202.1.2.3 -j DROP
iptables -L FORWARD
学习的目标是成熟!~~
更多推荐
所有评论(0)