一、【DHCP】动态主机配置协议
1、全局设置中一定要包括ddns-update-style设置项,dhcpd才能够正常启动
2、缺省租约时间使用default-lease-time参数设置,参数值的单位是秒
3、最大租约时间使用max-lease-time参数设置,参数值的单位是秒
4、dhcpd服务的启动脚本/etc/init.d/dhcpd
5、租约文件 /var/lib/dhcp/dhcpd.leases
6、dhcp服务器的主配置文件是/etc/dhcpd.conf,文件中包括声明、参数和选项三类设置内容
7、设置网络接口文件 # cat /etc/sysconfig/network-scripts/ifcfg-eth0
8、RFC文件:(1)手工 manual(bootp)地址利用率低
(2)自动automatic 地址池(起始地址 结束地址)一旦分配则永久,地址利用率低
(3)动态 dynamic 地址池(起始地址 结束地址)分配后有租期,地址利用率高
目前多采用1和3配合使用。
9、获得地址过程(广播)(1)dhcpdiscover(2)dhcpoffer(3)dhcprequest(4)dhcpack
(1)客户端发一个广播包dhcpdiscover
(2)所有接收到客户端广播的Dhcp服务器都回发一个广播包只有ip地址的dhcpoffer,客户端接收最先发过来的哪一个。
(3)客户端再发送dhcprequest给服务器,有两个作用告诉其他的dhcp服务器自己已经用了接收的第一个ip地址,告诉dhcp服务器要用其他的网络参数。
(4)Dhcp服务器发送dhcpack把其他的网络参数ip地址、子网掩码、默认网关、dns指向和租约文件发给它。
10、更新地址 (1)重启 dhcprequest(单播)
(2)50% dhcprequest
(3)75% ---87.5% a.dhcpdiscover b. 100% 终止 169.254.x.y
11、/etc/rc.d/init.d/dhcpd dhcp服务器控制脚本
12、/etc/rc.d/init.d/dhcrelay 中继服务器控制脚本
13、/usr/sbin/dhcpd dhcp服务器
14、/usr/sbin/dhcrelay 中继服务器
15、配置文件:rpm -ql dhcp |less
subnet 网络范围 netmask 子网掩码
{option routers 默认网关;
option subnet-mask 子网掩码;
option domain-name 域名;
option domain-name-servers dns服务器;
range dynamic-bootp 地址池;
default-lease-time 默认租用时间;
max-lease-time 最长租用时间;}
host 名称 {
next-server marvin.redhat.com;
hardware ethernet mac地址;
fixed-address 固定ip地址;
}
16、Dhcp中继的方法
答:(1)安装dhcp服务安装包
(2)编辑文件设置网络接口以及dhcp服务器地址
Vim /etc/sysconfig/dhcrelay
INTERTFACE=“网络接口名(eth0、eht1)”
DHCPSERVERS=“ip地址”
(3)启动dhcrelay服务
Service dhcrelay start
永久启动:chkconfig dhcrelay on
17、重启DHCP服务器:/etc/rc.d/init.d/dhcpd restart
二、【DNS】域名解析系统
1、dns客户端的设置
答:第一种:编辑/etc/resolv.conf 写入:nameserver ip地址
第二种:用setup命令配置网络参数
2、bind-chroot 把dns服务限制在一个目录内,提高了安全性
3、/var/named/chroot/etc/named.conf 主配置文档
4、两个检查工具:
(1)named-checkconf 检查主配置文档的名称和路径
(2)named-checkzone 检查域名和该域的数据库名称路径
5、在命令行运行nslookup,键入“server ip地址”命令,按下回车键,命令成功执行,即可解析出该ip地址所指向的dns域名;反之,也可以将域名解析成ip地址
6、递归查询(pc---服务器)迭代查询(服务器--服务器)
7、服务器类型
主dns master: 原始记录
辅助dns : 拷贝
存根dns
caching-only (高速缓存)
8、/var/named/chroot/ 服务器根目录
/var/named/chroot/etc 主配置文件
9、tcp 53 zone文件复制 udp 53 查询
10、客户端工具
nslookup、dig 、 host 、ping
11、主机名.DNS后缀=FQDN
12、主配置文件 /etc/named.conf
13、资源记录 rr
正向
SOA (授权起始)(主dns 管理员邮箱 刷新策略)、ns dns服务器、A 名字 ---》ip地址
CNAME(别名)、MX (邮件交换)
反向
SOA (授权起始)(主dns 管理员邮箱 刷新策略)、ns dns服务器、PTR ip地址 ---》名字
14、DNS的解析原理
答:dns的解析一般都是递归加迭代的方式。首先客户端以迭代的方式问自己的dns服务器,这时这个dns服务器以递归的方式去问根服务器,根服务器告诉该dns服务器下一级的dns服务器的ip地址,如果还不能直接查出,会再说出下一级的dns服务器的ip地址,就这样直到查出为止。
15、启动DNS服务器:/etc/rc.d/init.d/named start
三、【Samba】windows主机与Linux主机共享资源互访
1、身份验证的方法: security=验证方式
(1)share 是匿名登陆的不进行身份验证
(2)user 要进行身份验证需要账号库,账号库在本地的samba账号库
(3)Server方式 进行身份验证 账号库是其他服务器上的samba账号库
(4)domain进行身份验证 域环境中
(5)ads进行身份验证 需要域中的dc验证
2、命令testparm测试共享的设置是否正确
3、nmbd宣告资源 137 138;smbd共享 139 445
4、共享文件的设置:
[共享文件名字]
Comment=对共享文件的描述
Path=共享文件的目录
Public=yes可以默认共享
Writable=yes有写入权限的设置
Write list = @staff多用户写入权限的设置
创建samba账号用:smbpasswd –a 用户名 ,创建的用户必须是本地系统的账号
如果文件只属于系统的某一用户如果不设置public的话其他的用户是不能访问的。
5、启动Samba:/etc/rc.d/init.d/smb restart
四、【WWW】web服务
1、各种安全设置
答:(1)目录的安全性身份验证
<Directory "站点目录">
选项
</Directory >
首先要有声名文件 vim .htaccess
写入: authuserfile /var/www/.htpasswd(这个名字是可以自己命名的) 它是验证身份库
验证类型:authtype basic
对话框显示的提示文字: authname “说明文字”
要求: require valid-user
(2)来源控制:
用allow from和deny from加ip地址来完成的。
(3)https
2、http端口号为TCP的80 https端口号为443(提供加密,可以确保消息的私有性和完整性)
3、Apache服务器的主配置文件是httpd.conf
4、https的原理
答:使用https时会在应用层和传输层加一个ssl层,ssl层会进行加密。Web服务器还要向客户端发送自己的证书,证书包括持有者表示、公钥、颁发机构、和签名。客户端会对照信息,如果信息都是正确的,客户端会用公钥加密客户端的私钥传递过去,这样两段都有了共同的钥匙所以就能进行加密通信了。
5、虚拟目录
(1)基于ip地址
多个ip地址 多个名称 同样端口 多个站点
192.168.2.100 www.abc.com 80 /var/www/html
192.168.2.101 tec.abc.com 80 /var/www/tec
192.168.2.102 mkt.abc.com 80 /var/www/mkt
(2)基于端口
少量ip 少量名称 多个端口 多个站点
192.168.2.100 www.abc.com 80 /var/www/html
192.168.2.100 www.abc.com 800 /var/www/tec
192.168.2.100 www.abc.com 8000 /var/www/mkt
(3)基于主机头 (名字 fqdn)
少量ip 多个名字 同样的端口 多个站点
192.168.2.100 www.abc.com 80 /var/www/html
192.168.2.100 tec.abc.com 80 /var/www/tec
192.168.2.100 mkt.abc.com 80 /var/www/mkt
五、【nat】网络地址转换 and【iptables】防火墙
1、表有:filter、nat、mangle
(1)Filter表中有input、output和forward链
input对进入防火墙的数据进行过滤
output对从防火墙出去的数据进行过滤
forward对经过防火墙的数据进行过滤
(2)Nat有postrouting和prerouting
Postrouting实现snat
Prerouting实现dnat
(3)mangle有tos、TTL、mark
2、分类
a.静态nat
b.NAT池(动态nat)
acl 私有 x
pool 合法 y
映射
x<=y
x>y pat napt
c.端口NAT(PAT)
3、指令
-A --append 追加
-D 删除
-I 插入
-R 替换
-F 刷新
-N 新的链
-P 策略
-X 删除 空 用户自定义的
六、【Mail】邮件服务器
1、电子邮件相关协议:(基于TCP)
Smtp(简单邮件传输协议):用于发送和接收邮件,端口号25
Pop3(邮局协议版本3):用于接收邮件,端口号110
imap4(因特网消息访问协议第四版):用于邮件接收,端口号143
2、MTA 邮件传输代理(发送服务器)、MAA 邮件访问代理、MUA 邮件用户代理
3、dovecot服务器的配置文件保存在 :/etc/dovecot.conf
七、【Ftp】文件传输
1、端口: 21连接控制 20/>1024 数据传输
2、ftp的主动方式和被动方式
答:主动模式:(PORT)
(1)ftp客户机由大于1024的N端口向ftp服务器的21端口发出请求建立命令链路
(2)ftp服务器由21端口向ftp客户机的N端口回应,确认建立命令链路
(3)ftp服务器由20端口向ftp客户机的N+1端口主动建立数据链路连接
(4)ftp客户机由N+1端口向ftp服务器的20端口回应,确认数据链路的建立
被动模式:(PASV)
(1)ftp客户机由大于1024的N端口向ftp服务器的21端口发出请求建立命令链路
(2)ftp服务器由21端口向ftp客户机的N端口回应,确认建立命令链路
(3)ftp服务器会通过已建立的数据链路通知客户机自己已经打开了大于1024的端口M,用于建立数据链路;当需要传输数据时,ftp客户机会通过N+1端口向ftp服务器的M端口请求建立数据链路
(4)ftp服务器在M端口监听到ftp客户机的连接请求后,将从M端口向ftp客户机的N+1端口确认数据链路建立
3、使用ftp本地账户存在安全性问题:
答:使用ftp本地账户存在安全性问题:
(1)ftp本地账户使用linux系统用户账号,存在安全隐患。使用虚拟账号代替本地用户可以增强系统的安全性
(2)本地用户登陆ftp目录可以从宿主目录转换到其他目录,不是很安全。可以设置将本地用户禁锢在宿主目录中。
4、ftp命令:
get命令用于下载文件,put命令用于上传文件
mget和mput用于一次下载或上传多个文件
bye命令可退出ftp命令交互环境
5、vsftpd服务器的主配置文件 /etc/vsftpd/vsftpd.conf
6、vsftpd.ftpusers用于保存不允许进行FTP登录的本地用户帐号
7、所有匿名用户都登录到相同的目录中 /var/ftp,匿名登录使用用户名anonymous或ftp
8、服务器启动脚本 /etc/init.d/vsftpd
9、重启vsftpd服务器:/etc/rc.d/init.d/vsftpd restart