使用 vsftpd 服务传输文件
本章讲解了如下内容:
➢ 文件传输协议;
➢ vsftpd 服务程序;
➢ 简单文件传输协议。
复习题
1.简述 FTP 协议的功能作用以及所占用的端口号。
FTP 是一种在互联网中进行文件传输的协议,默认使用 20、21 号端口,其中端口 20(数据端口)用于进行数据传输,端口 21(命令端口)用于接受客户端发起的相关 FTP
命令与参数。
2.vsftpd 服务程序提供的三种用户认证模式各自有什么特点?
匿名开放模式是任何人都可以无需密码认证即可直接登录到 FTP 服务器的验证方式;本地用户模式是通过系统本地的账户密码信息登录到 FTP 服务器的认证方式;虚拟用户模式是通过创建独立的 FTP 用户数据库文件来进行认证并登录到 FTP 服务器的认证方式,相较来说它也是最安全的认证模式。
3. 使用匿名开放模式登录到一台用 vsftpd 服务程序部署的 FTP 服务器上时,默认的 FTP 根目录是什么?
使用匿名开放模式登录后的 FTP 根目录是/var/ftp 目录,该目录内默认还会有一个名为 pub 的子目录
4.简述 PAM 的功能作用。
PAM 是一组安全机制的模块(插件),系统管理员可以用来轻易地调整服务程序的认证方式,而不必对应用程序进行过多修改。
5.使用虚拟用户模式登录 FTP 服务器的所有用户的权限都是一样的吗?
不一定,可以通过分别定义用户权限文件来为每一位用户设置不同的权限。
6.TFTP 协议与 FTP 协议有什么不同?
TFTP 协议提供不复杂、开销不大的文件传输服务(可将其当作 FTP 协议的简化版本)。
使用 Samba 或 NFS 实现文件共享
本章讲解了如下内容:
➢ Samba 文件共享服务;
➢ 网络文件系统(Network File System,NFS);
➢ autofs 自动挂载服务。
复习题
1.要想实现 Linux 系统与 Windows 系统之间的文件共享,能否使用 NFS 服务?
不可以,应该使用 Samba 服务程序,NFS 服务仅能实现 Linux 系统之间的文件共享。
2.用于管理 Samba 服务程序的独立账户信息数据库的命令是什么?
pdbedit 命令用于管理 Samba 服务程序的账户信息数据库。
3.简述在 Windows 系统中使用 Samba 服务程序来共享资源的方法。
在开始菜单的输入框中按照\192.168.10.10 的格式输入访问命令并回车执行即可。在Windows 的“运行”命令框中按照“\192.168.10.10”的格式输入访问命令并按回车键即可。
4.简述在 Linux 系统中使用 Samba 服务程序来共享资源的步骤方法。
首先应创建密码认证文件以及挂载目录;
然后把挂载信息写入到/etc/fstab 文件中;
最后执行 mount -a 命令挂载使用。
5.如果在 Linux 系统中默认没有安装 NFS 服务程序,则需要安装什么软件包呢?
NFS 服务程序的软件包名字为 nfs-utils,因此执行 yum install nfs-utils 命令即可。
6.在使用 NFS 服务共享资源时,若希望无论 NFS 客户端使用什么帐户来访问共享资源,都会被映射为本地匿名用户,则需要添加哪个参数。
需要添加all_squash参数,以便更好地保证服务器的安全。
7.客户端在查看到远程 NFS 服务器上的共享资源列表时,需要使用哪个命令?
使用 showmount 命令即可看到 NFS 服务器上的资源共享情况。
8.简述 autofs 服务程序的作用。
实现动态灵活的设备挂载操作,而且只有检测到用户试图访问一个尚未挂载的文件系统时,才自动挂载该文件系统。
使用 BIND 提供域名解析服务
本章讲解了如下内容:
➢ DNS 域名解析服务;
➢ 安装 bind 服务程序;
➢ 部署从服务器;
➢ 安全的加密传输;
➢ 部署缓存服务器;
➢ 分离解析技术。
DNS域名解析服务
为了降低用户访问网络资源的门槛,DNS(Domain NameSystem,域名系统)技术应运而生。这是一项用于管理和解析域名与IP地址对应关系的技术,简单来说,就是能够接受用户输入的域名或IP地址,然后自动查找与之匹配(或者说具有映射关系)的IP地址或域名,即将域名解析为IP地址(正向解析),或将IP地址解析为域名(反向解析)。这样一来,我们只需要在浏览器中输入域名就能打开想要访问的网站了。DNS域名解析技术的正向解析也是我们最常使用的一种工作模式。
域名后缀一般分为国际域名和国内域名。原则上来讲,域名后缀都有严格的定义,但在实际使用时可以不必严格遵守。目前最常见的域名后缀有.com(商业组织)、.org(非营利组织)、.gov(政府部门)、.net(网络服务商)、.edu(教研机构)、.pub(公共大众)、.cn(中国国家顶级域名)等。
➢ :在特定区域内具有唯一性,负责维护该区域内的域名与 IP 地址之间的对
应关系。
➢ :从主服务器中获得域名与 IP 地址的对应关系并进行维护,以防主服务器
宕机等情况。
➢ :通过向其他域名解析服务器查询获得域名与 IP 地址的对应关系,并
将经常查询的域名信息保存到服务器本地,以此来提高重复查询时的效率。
DNS 域名解析服务采用分布式的数据结构来存放海量的“区域数据”信息,在执行用户
发起的域名查询请求时,具有递归查询和迭代查询两种方式。所谓递归查询,是指 DNS 服务器在收到用户发起的请求时,必须向用户返回一个准确的查询结果。如果 DNS 服务器本地没有存储与之对应的信息,则该服务器需要询问其他服务器,并将返回的查询结果提交给用户。
而迭代查询则是指,DNS 服务器在收到用户发起的请求时,并不直接回复查询结果,而是告诉另一台 DNS 服务器的地址,用户再向这台 DNS 服务器提交请求,这样依次反复,直到返回查询结果
当用户向网络指定的 DNS 服务器发起一个域名请求时,通常情况下会有本地由此 DNS
服务器向上级的 DNS 服务器发送迭代查询请求;如果该 DNS 服务器没有要查询的信息,则
会进一步向上级DNS服务器发送迭代查询请求,直到获得准确的查询结果为止。其中最高级、
最权威的根 DNS 服务器总共有 13 台,分布在世界各地,其管理单位、具体的地理位置,以
及 IP 地址如表 13-1 所示。
安装 bind 服务程序
BIND(Berkeley Internet Name Domain,伯克利因特网名称域)服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。DNS 域名解析服务作为互联网基础设施服务,其责任之重可想而知,因此建议大家在生产环境中安装部署 bind 服务程序时加上 chroot(俗称牢笼机制)扩展包,以便有效地限制 bind 服务程序仅能对自身的配置文件进行操作,以确保整个服务器的安全。
yum install bind-chroot
bind 服务程序的配置并不简单,因为要想为用户提供健全的 DNS 查询服务,要在本地保存相关的域名数据库,而如果把所有域名和 IP 地址的对应关系都写入到某个配置文件中,估计要有上千万条的参数,这样既不利于程序的执行效率,也不方便日后的修改和维护。因此在 bind 服务程序中有下面这三个比较关键的文件。
➢ 主配置文件(/etc/named.conf):只有 58 行,而且在去除注释信息和空行之后,实际有效的参数仅有 30 行左右,这些参数用来定义 bind 服务程序的运行。
➢ 区域配置文件(/etc/named.rfc1912.zones):用来保存域名和 IP 地址对应关系的所在位置。类似于图书的目录,对应着每个域和相应 IP 地址所在的具体位置,当需要查看或修改时,可根据这个位置找到相关文件。
➢ 数据配置文件目录(/var/named):该目录用来保存域名和 IP 地址真实对应关系的数据配置文件。
在 Linux 系统中,bind 服务程序的名称为 named。首先需要在/etc 目录中找到该服务程序
的主配置文件,然后把第 11 行和第 17 行的地址均修改为 any,分别表示服务器上的所有 IP地址均可提供 DNS 域名解析服务,以及允许所有人对本服务器发送 DNS 查询请求。这两个地方一定要修改准确。
如前所述,bind 服务程序的区域配置文件(/etc/named.rfc1912.zones)用来保存域名和 IP地址对应关系的所在位置。在这个文件中,定义了域名与 IP 地址解析规则保存的文件位置以及服务类型等内容,而没有包含具体的域名、IP 地址对应关系等信息。服务类型有三种,分别为 hint(根区域)、master(主区域)、slave(辅助区域),其中常用的 master 和 slave 指的就
是主服务器和从服务器。
正向解析
第一步:编辑区域配置文件。
[root@linuxprobe ~]# vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
type master;
file "linuxprobe.com.zone";
allow-update {none;};
};
第二步:编辑数据配置文件。
我们可以从/var/named 目录中复制一份正向解析的模板文
件(named.localhost),然后把域名和 IP 地址的对应数据填写数据配置文件中并保存。在复制时记得加上-a参数,这可以保留原始文件的所有者、所属组、权限属性等信息,以便让 bind服务程序顺利读取文件内容:
[root@linuxprobe ~]# cd /var/named/
[root@linuxprobe named]# ls -al named.localhost
-rw-r-----. 1 root named 152 Jun 21 2007 named.localhost
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.zone
编辑数据配置文件。在保存并退出后文件后记得重启 named 服务程序,让新的解析数据生效。
[root@linuxprobe named]# vim linuxprobe.com.zone
[root@linuxprobe named]# systemctl restart named
第三步:检验解析结果。
为了检验解析结果,一定要先把 Linux 系统网卡中的 DNS 地址参数修改成本机 IP 地址,这样就可以使用由本机提供的 DNS 查询服务了。nslookup 命令用于检测能否从 DNS 服务器中查询到域名与 IP 地址的解析记录,进而更准确地检验 DNS 服务器是否已经能够为用户提供服务。
反向解析
步骤差不多
部署从服务器
一、在主服务器的区域配置文件中允许该从服务器的更新请求,即修改 allow-update{允许更新区域信息的主机地址;};参数,然后重启主服务器的 DNS 服务程序。
二、在从服务器中填写主服务器的 IP 地址与要抓取的区域信息,然后重启服务。注意此时的服务类型应该是slave(从),而不再是 master(主)。masters 参数后面应该为主服务器的 IP 地址,而且 file 参数后面定义的是同步数据配置文件后要保存到的位置,稍后可以在该目录内看到同步的文件。
三、检验解析结果。当从服务器的 DNS 服务程序在重启后,一般就已经自动从主服务器上同步了数据配置文件,而且该文件默认会放置在区域配置文件中所定义的目录位置中。随后修改从服务器的网络参数,把 DNS 地址参数修改成 192.168.10.20,这样即可使用从服务器自身提供的 DNS 域名解析服务。最后就可以使用 nslookup 命令顺利看到解析结果了
安全的加密传输
bind 服务程序为了提供安全的解析服务,已经对 TSIG(RFC 2845)加密机制提供了支持。TSIG 主要是利用了密码编码的方式来保护区域信息的传输(Zone Transfer),即 TSIG 加密机制保证了 DNS 服务器之间传输域名区域信息的安全性。
dnssec-keygen命令用于生成安全的 DNS 服务密钥,其
格式为dnssec-keygen [参数]
部署缓存服务器
DNS 缓存服务器(Caching DNS Server)是一种不负责域名数据维护的 DNS 服务器。简单来说,缓存服务器就是把用户经常使用到的域名与 IP 地址的解析记录保存在主机本地,从而提升下次解析的效率。DNS 缓存服务器一般用于经常访问某些固定站点而且对这些网站的访问速度有较高要求的企业内网中,但实际的应用并不广泛。而且,缓存服务器是否可以成功解析还与指定的上级 DNS 服务器的允许策略有关,因此当前仅需了解即可。
分离解析技术
可以购买多台服务器并分别部署在全球各地,然后再使用 DNS 服务的分离解析功能,即可让位于不同地理范围内的读者通过访问相同的网址,而从不同的服务器获取到相同的数据。
复习题
1.DNS 技术提供的三种类型的服务器分别是什么?
DNS 主服务器、DNS 从服务器与 DNS 缓存服务器。
2.DNS 服务器之间传输区域数据文件时,使用的是递归查询还是迭代查询?
DNS 服务器之间是迭代查询,用户与 DNS 服务器之间是递归查询。
3.在 Linux 系统中使用 Bind 服务程序部署 DNS 服务时,为什么推荐安装 chroot 插件?
能有效地限制 Bind 服务程序仅能对自身的配置文件进行操作,以确保整个服务器的安全。
4.在 DNS 服务中,正向解析和反向解析的作用是什么?
正向解析是将指定的域名转换为 IP 地址,而反向解析则是将 IP 地址转换为域名。正向解析模式更为常用。
5.是否可以限制使用 DNS 域名解析服务的主机?如何限制?
是的,修改主配置文件中第 17 行的 allow-query参数即可。
6.部署 DNS 从服务器的作用是什么?
部署从服务器可以减轻主服务器的负载压力,还可以提升用户的查询效率。
7.当用户与 DNS 服务器之间传输数据配置文件时,是否可以使用 TSIG 加密机制来确保文件内容不被篡改?
不能,TSIG 加密机制保障的是 DNS 服务器与 DNS 服务器之间迭代查询的安全。
8.部署 DNS 缓存服务器的作用是什么?
DNS 缓存服务器把用户经常使用到的域名与 IP 地址的解析记录保存在主机本地,从而提升下次解析的效率。一般用于经常访问某些固定站点而且对这些网站的访问速度有较高要求的企业内网中,但实际的应用并不广泛。
9. DNS 分离解析技术的作用是什么?
可以让位于不同地理范围内的读者通过访问相同的网址,而从不同的服务器获取到相同的数据,以提升访问效率。
使用 DHCP 动态管理主机地址
本章讲解了如下内容:
➢ 动态主机配置协议;
➢ 部署 dhcpd 服务程序;
➢ 自动管理 IP 地址;
➢ 分配固定 IP 地址。
动态主机配置协议
动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)是一种基于 UDP 协议且仅限于在局域网内部使用的网络协议,主要用于大型的局域网环境或者存在较多移动办公设备的局域网环境中,其主要用途是为局域网内部的设备或网络供应商自动分配 IP 地址等参数。
➢作用域 :一个完整的 IP 地址段,DHCP 协议根据作用域来管理网络的分布、分配 IP
地址及其他配置参数。
➢超级作用域 :用于管理处于同一个物理网络中的多个逻辑子网段。超级作用域中包含了可以统一管理的作用域列表。
➢排除范围 :把作用域中的某些 IP 地址排除,确保这些 IP 地址不会分配给 DHCP 客户端。
➢地址池 :在定义了DHCP的作用域并应用了排除范围后,剩余的用来动态分配给DHCP客户端的 IP 地址范围。
➢租约 :DHCP 客户端能够使用动态分配的 IP 地址的时间。
➢预约 :保证网络中的特定设备总是获取到相同的 IP 地址。
部署 dhcpd 服务程序
安装dhcpd服务
[root@linuxprobe ~]# yum install dhcp
查看 dhcpd 服务程序的配置文件内容。
[root@linuxprobe ~]# cat /etc/dhcp/dhcpd.conf
# DHCP Server Configuration file.
# see /usr/share/doc/dhcp*/dhcpd.conf.example
# see dhcpd.conf(5) man page
一个标准的配置文件应该包括全局配置参数、子网网段声明、地址配置选项以及地址配置参数。其中,全局配置参数用于定义 dhcpd 服务程序的整体运行参数;子网网段声明用于配置整个子网段的地址属性。
自动管理 IP 地址
DHCP 协议的设计初衷是为了更高效地集中管理局域网内的 IP 地址资源。DHCP 服务器会自动把 IP 地址、子网掩码、网关、DNS 地址等网络信息分配给有需要的客户端,而且当客户端的租约时间到期后还可以自动回收所分配的 IP 地址,以便交给新加入的客户端。
分配固定 IP 地址
要想把某个 IP 地址与某台主机进行绑定,就需要用到这台主机的 MAC 地址。MAC 地址是网卡上面的一串独立的标识符,具备唯一性,因此不会存在冲突的情况,
复习题
1.简述 DHCP 协议的主要用途。
为局域网内部的设备或网络供应商自动分配 IP 地址等参数。
2.DHCP 协议能够为客户端分配什么网卡资源?
可为客户端分配 IP 地址、子网掩码、网关地址以及 DNS 地址等信息。
3.真正供用户使用的 IP 地址范围是作用域还是地址池?
地址池,因为作用域内还会包含要排除掉的 IP 地址。
4.简述 DHCP 协议中“租约”的作用。
租约分为默认租约时间和最大租约时间,用于在租约时间到期后自动回收主机的 IP 地址,以免造成 IP 地址的浪费。
5.把 IP 地址与主机的什么信息绑定,就可以保证该主机一直获取到固定的 IP 地址?
主机网卡的 MAC 地址。
使用 Postfix 与 Dovecot 部署邮件系统
本章讲解了如下内容:
➢ 电子邮件系统;
➢ 部署基础的电子邮件系统;
➢ 设置用户别名信箱。
电子邮件系统
电子邮件系统基于邮件协议来完成电子邮件的传输,常见的邮件协议有下面这些。
➢简单邮件传输协议(Simple Mail Transfer Protocol,SMTP):用于发送和中转发出的电子邮件,占用服务器的 25/TCP 端口。
➢邮局协议版本3(Post Office Procotol 3) :用于将电子邮件存储到本地主机,占用服务器的110/TCP 端口。
➢Internet 消息访问协议版本4(Internet Message Access Protocol) :用于在本地主机上访问邮件,占用服务器的 143/TCP 端口。
在电子邮件系统中,为用户收发邮件的服务器名为邮件用户代理(Mail User Agent,
MUA)。另外,既然电子邮件系统能够让用户在离线的情况下依然可以完成数据的接收,肯定得有一个用于保存用户邮件的“信箱”服务器,这个服务器的名字为邮件投递代理(Mail Delivery Agent,MDA),其工作职责是把来自于邮件传输代理(Mail Transfer Agent,MTA)的邮件保存到本地的收件箱中。其中,这个 MTA 的工作职责是转发处理不同电子邮件服务供应商之间的邮件,把来自于 MUA 的邮件转发到合适的 MTA 服务器。例如,我们从新浪信箱向谷歌信箱发送一封电子邮件,这封电子邮件的传输过程如图
有 4 个注意事项请留意。
➢ 添加反垃圾与反病毒模块:它能够很有效地阻止垃圾邮件或病毒邮件对企业信箱的干扰。
➢ 对邮件加密:可有效保护邮件内容不被黑客盗取和篡改。
➢ 添加邮件监控审核模块:可有效地监控企业全体员工的邮件中是否有敏感词、是否有透露企业资料等违规行为。
➢ 保障稳定性:电子邮件系统的稳定性至关重要,运维人员应做到保证电子邮件系统的稳定运行,并及时做好防范分布式拒绝服务(Distributed Denial of Service,DDoS)攻击的准备。
部署基础的电子邮件系统
一个最基础的电子邮件系统肯定要能提供发件服务和收件服务,为此需要使用基于SMTP 协议的Postfix 服务程序提供发件服务功能,并使用基于 POP3 协议的 Dovecot 服务程序提供收件服务功能。这样一来,用户就可以使用 Outlook Express 或 Foxmail 等客户端服务程序正常收发邮件了。电子邮件系统的工作流程如图
配置 Postfix 服务程序
Postfix 是一款由 IBM 资助研发的免费开源电子邮件服务程序,能够很好地兼容 Sendmail服务程序,可以方便 Sendmail 用户迁移到 Postfix 服务上。Postfix 服务程序的邮件收发能力强于 Sendmail 服务,而且能自动增加、减少进程的数量来保证电子邮件系统的高性能与稳定性。另外,Postfix 服务程序由许多小模块组成,每个小模块都可以完成特定的功能,因此可在生产工作环境中根据需求灵活搭配它们。
第一步:安装 Postfix 服务程序。在安装完 Postfix 服务程序后,需要禁用 iptables 防火墙,否则外部用户无法访问电子邮件系统。
[root@linuxprobe ~]# yum install postfix
[root@linuxprobe ~]# systemctl disable iptables
第二步:配置 Postfix 服务程序。
第三步::创建电子邮件系统的登录账户。Postfix 与 vsftpd 服务程序一样,都可以调用本地系统的账户和密码,因此在本地系统创建常规账户即可。最后重启配置妥当的 postfix 服务程序,并将其添加到开机启动项中。
Dovecot
Dovecot 是一款能够为 Linux 系统提供 IMAP 和 POP3 电子邮件服务的开源服务程序,安全性极高,配置简单,执行速度快,而且占用的服务器硬件资源也较少,因此是一款值得推荐的收件服务程序。
aliases邮件别名服务的配置文件是专门用来定义用户别名与邮件接收人的映射。除了使用本地系统中系统账户的名称外,我们还可以自行定义一些别名来接收邮件。例如,创建一个名为 xxoo 的账户,而真正接收该账户邮件的应该是 root 账户。
设置用户别名信箱
用户别名功能是一项简单实用的邮件账户伪装技术,可以用来设置多个虚拟信箱的账户以接受发送的邮件,从而保证自身的邮件地址不被泄露,还可以用来接收自己的多个信箱中的邮件。
保存并退出 aliases 邮件别名服务的配置文件后,需要再执行一下 newaliases 命令,其目的是让新的用户别名配置文件立即生效。
复习题
1.电子邮件服务与 HTTP、FTP、NFS 等程序的服务模式的最大区别是什么?
当对方主机宕机或对方临时离线时,使用电子邮件服务依然可以发送数据。
2.常见的电子邮件协议有那些?
SMTP、POP3 和 MAP4。
3.电子邮件系统中 MUA、MTA、MDA 三种服务角色的用途分别是什么?
MUA 用于收发邮件、MTA 用于转发邮件、MDA 用于保存邮件。
4.使用 Postfix 与 Dovecot 部署电子邮件系统前,需要先做什么?
需要先配置部署 DNS 域名解析服务,以便提供信箱地址解析功能。
5.能否让 Dovecot 服务程序限制允许连接的主机范围?
可以,在 Dovecot 服务程序的主配置文件中修改login_trusted_networks参数值即可,这样可在不修改防火墙策略的情况下限制来访的主机范围。
6.使用 Outlook 软件连接电子邮件服务器的地址 mail.linuxprobe.com 时,提示找不到服务器
或连接超时,这可能是什么原因导致的呢?
很有可能是 DNS 域名解析问题引起的连接超时,可在服务器与客户端分别执行 ping mail.linuxprobe.com 命令,测试是否可以正常解析出 IP 地址。
7.如何定义用户别名信箱以及让其立即生效?
可直接修改邮件别名服务的配置文件,并在保存退出后执行newaliases 命令即可让新的用户别名立即生效。
扫一扫
2302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
