Linux操作系統(tǒng)管理及服務(wù)器配置

1、網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程第五章第五章 Linux Linux 操作系統(tǒng)操作系統(tǒng)管理及服務(wù)器配置管理及服務(wù)器配置網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程主要內(nèi)容主要內(nèi)容5.15.1基本管理基本管理5.1.1基本操作5.1.2網(wǎng)絡(luò)管理5.1.3安全管理5.25.2基本服務(wù)基本服務(wù)5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置5.2.2 Samba服務(wù)器配置5.2.3 DHCP服務(wù)器配置5.2.4 FTP服務(wù)器配置5.35.3高級服務(wù)高級服務(wù)5.3.1 DNS服務(wù)器配置5.3.2 Web服務(wù)器配置5.3.3電子郵件服務(wù)器配置網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理Li

2、nux Linux 操作系統(tǒng)是自由軟件和開放源代碼發(fā)展中最著操作系統(tǒng)是自由軟件和開放源代碼發(fā)展中最著名的例子。很多人認(rèn)為，和微軟名的例子。很多人認(rèn)為，和微軟WindowsWindows相比，作為自相比，作為自由軟件的由軟件的Linux Linux 操作系統(tǒng)具有低成本，高安全性，更操作系統(tǒng)具有低成本，高安全性，更加可信賴等優(yōu)勢，但是同時卻需要更多的人力成本。加可信賴等優(yōu)勢，但是同時卻需要更多的人力成本。LinuxLinux的吉祥物是一只可愛的小企鵝，的吉祥物是一只可愛的小企鵝，Red Hat Enterprise Linux Red Hat Enterprise Linux （簡稱（簡稱RHEL

3、RHEL）是）是Red HatRed Hat公司的公司的Linux Linux 發(fā)行版，面向商業(yè)市場，包括大型機(jī)。發(fā)行版，面向商業(yè)市場，包括大型機(jī)。RHELRHEL是目前是目前Linux Linux 服務(wù)器產(chǎn)品的標(biāo)桿，在國內(nèi)和國際服務(wù)器產(chǎn)品的標(biāo)桿，在國內(nèi)和國際上都占據(jù)著主要的上都占據(jù)著主要的Linux Linux 服務(wù)器市場份額。服務(wù)器市場份額。RHELRHEL產(chǎn)品產(chǎn)品功能全面，產(chǎn)品認(rèn)證齊全，用戶的接受度比較高。功能全面，產(chǎn)品認(rèn)證齊全，用戶的接受度比較高。Red Red HatHat公司的標(biāo)志是一只小紅帽，公司的標(biāo)志是一只小紅帽，網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管

4、理類別類別實(shí)驗(yàn)名稱實(shí)驗(yàn)名稱實(shí)驗(yàn)類型實(shí)驗(yàn)類型實(shí)驗(yàn)難度實(shí)驗(yàn)難度知識點(diǎn)知識點(diǎn)備注備注基本管理基本操作驗(yàn)證文件、用戶、進(jìn)程管理網(wǎng)絡(luò)管理驗(yàn)證ping、ifconfig等安全策略驗(yàn)證netstat、iptable等基本服務(wù)遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置設(shè)計(jì)Telnet、SSH、VNC ServerSamba服務(wù)器配置設(shè)計(jì)原理、配置和管理DHCP服務(wù)器配置設(shè)計(jì)原理、配置和管理FTP服務(wù)器配置設(shè)計(jì)原理、配置和管理高級服務(wù)DNS服務(wù)器配置設(shè)計(jì)原理、配置和管理選做Web服務(wù)器配置設(shè)計(jì)原理、配置和管理選做EMail服務(wù)器配置綜合原理、配置和管理選做網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理LinuxLi

5、nux的基本管理包括用戶和組的管理、進(jìn)程管理、的基本管理包括用戶和組的管理、進(jìn)程管理、文件和磁盤管理、軟件管理、網(wǎng)絡(luò)管理和安全管理文件和磁盤管理、軟件管理、網(wǎng)絡(luò)管理和安全管理等多個方面。等多個方面。ShellShell是用戶管理是用戶管理Linux Linux 操作系統(tǒng)的操作系統(tǒng)的命令行接口，命令行接口，ShellShell提供了幾百條指令，雖然這些提供了幾百條指令，雖然這些指令的功能不同，但它們的使用方式和規(guī)則都是統(tǒng)指令的功能不同，但它們的使用方式和規(guī)則都是統(tǒng)一的。一的。Linux Linux 指令使用的一般格式是：指令使用的一般格式是： 指令名 -選項(xiàng) 參數(shù)1 參數(shù)2如： mkdir te

6、mp /創(chuàng)建一個目錄temp網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理登錄與關(guān)機(jī)登錄與關(guān)機(jī)login：login指令讓用戶登入系統(tǒng)，您亦可通過它的功能隨時更換登入身份。exit：執(zhí)行exit可使shell以指定的狀態(tài)值退出。若不設(shè)置狀態(tài)值參數(shù)，則shell以預(yù)設(shè)值退出。shutdown：shutdown指令可以關(guān)閉所有程序，并依用戶的需要，進(jìn)行重新開機(jī)或關(guān)機(jī)的動作。用戶和組用戶和組useradd：可用來建立用戶賬號。賬號建好之后，再用passwd設(shè)定賬號的密碼。passwd：使用passwd指令用戶可以更改自己的密碼，而系統(tǒng)管理者則能用它管理系統(tǒng)用戶的密碼。su：該指令

7、可讓用戶暫時變更登入的身份。變更時須輸入所要變更的用戶帳號與密碼。chmod：變更文件與目錄的權(quán)限，設(shè)置方式采用文字或數(shù)字代號皆可。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理文件與目錄文件與目錄ls：執(zhí)行l(wèi)s指令可列出目錄的內(nèi)容，包括文件和子目錄的名稱。cd：該指令可讓用戶在不同的目錄間切換，但該用戶必須擁有足夠的權(quán)限進(jìn)入目的目錄。cat：把文件串連接后傳到基本輸出（屏幕或加 filename 到另一個文件）。mkdir：可建立目錄并同時設(shè)置目錄的權(quán)限。rm：執(zhí)行rm指令可刪除文件或目錄，如欲刪除目錄必須加上參數(shù)“-r”，否則預(yù)設(shè)僅會刪除文件。cp：該指令用在復(fù)制文件或

8、目錄，如同時指定兩個以上的文件或目錄，且最后的目的地是一個已經(jīng)存在的目錄，則它會把前面指定的所有文件或目錄復(fù)制到該目錄中。mv：該指令可移動文件或目錄，或是更改文件或目錄的名稱。find：該指令指令用于查找符合條件的文件。任何位于參數(shù)之前的字符串都將被視為欲查找的目錄。tar：該指令是用來建立，還原歸檔文件的工具程序，它可以加入，解開歸檔文件內(nèi)的文件。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理進(jìn)程管理進(jìn)程管理ps：該指令是用來報(bào)告程序執(zhí)行狀況的指令，您可以搭配kill指令隨時中斷，刪除不必要的程序。kill：結(jié)束執(zhí)行中的程序或工作。其他其他vi：vi是Linux 最基本

9、的、最常用的文本編輯工具。man：顯示特定指令的幫助。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理環(huán)境與網(wǎng)絡(luò)拓?fù)洵h(huán)境與網(wǎng)絡(luò)拓?fù)湟慌_安裝RHEL 6操作系統(tǒng)的PC機(jī)，假定用戶root的密碼是：123456。用戶登錄Red Hat Enterprise Linux Server release 6.0 Red Hat Enterprise Linux Server release 6.0 (Santiago)(Santiago)Kernel 2.6.32-71.el6.i686 on an i686Kernel 2.6.32-71.el6.i686 on an i686loc

10、alhost login:root localhost login:root /輸入輸入rootroot后，按后，按enterenter鍵鍵Password: /Password: /輸入密碼輸入密碼123456123456，不會顯示出來，不會顯示出來Last login:Sun Feb 20 06:13:15 on tty1Last login:Sun Feb 20 06:13:15 on tty1rootlocalhost #rootlocalhost #/登錄成功登錄成功網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理切換用戶切換用戶rootlocalhost #log

11、out /退出當(dāng)前用戶localhost login: /重新回到等待登錄界面退出登錄退出登錄rootlocalhost #exit /退出登錄，也可使用logoutlocalhost login: /重新回到等待登錄界面系統(tǒng)關(guān)機(jī)系統(tǒng)關(guān)機(jī)rootlocalhost #shutdown h now /立即關(guān)機(jī)創(chuàng)建一個用戶創(chuàng)建一個用戶zzzzrootlocalhost #useradd zz g root /創(chuàng)建一個zz用戶，屬于root組rootlocalhost #passwd zz /為zz用戶設(shè)置密碼Changing password for user zz.New password: /

12、輸入zznetwork，注意這里的輸入并不顯示Retype new password: /再一次輸入zznetworkpasswd: all authentication tokens updated successfully.rootlocalhost #網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理使用使用zzzz用戶登錄用戶登錄rootlocalhost #exit /退出登錄localhost login:zz /重新回到等待登錄界面Password: /輸入密碼zznetwork，不會顯示出來zzlocalhost $ /zz用戶登錄成功暫時變更登入的身份暫時變更

13、登入的身份zzlocalhost $ su /等價于su rootPassword: /輸入root用戶的密碼 rootlocalhost # /實(shí)現(xiàn)暫時以root身份使用rootlocalhost zz#exit /返回原登錄用戶身份exitzzlocalhost zz$網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理目錄管理目錄管理zzlocalhost $mkdir temp /創(chuàng)建一個目錄tempzzlocalhost $ls /列出當(dāng)前目錄下的文件和目錄tempzzlocalhost $cd temp /進(jìn)入temp目錄zzlocalhost temp$pwd /查

14、看當(dāng)前工作路徑/home/zz/tempzzlocalhost temp$cd . /返回到上一級目錄zzlocalhost $rm r temp /刪除目錄temp文件管理文件管理zzlocalhost temp$cat sample.txt /使用cat創(chuàng)建文件sample.txtWelcome to Linux /按ctrl+c退出zzlocalhost temp$cat sample.txt /用cat顯示文件sample.txt內(nèi)容Welcome to Linux zzlocalhost temp$cp sample.txt sample.bak.txt /復(fù)制sample.txt命

15、名sample.bak.txtzzlocalhost temp$rm sample.txt /刪除sample.txt文件zzlocalhost temp$mv sample.bak.txt sample.txt /把sample.bak.txt 重命名為sample.txt網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理文件的查找與歸檔文件的查找與歸檔zzlocalhost temp$find /home/zz name sample.txt /在/home/zz目錄下查找名稱為sample.txt的文件/home/zz/temp/sample.txtzzlocalhost

16、 temp$tar cvf ./t.tar * /把當(dāng)前目錄下的所有文件和目錄歸檔到上一級目錄中的t.tar中進(jìn)程管理進(jìn)程管理顯示進(jìn)程最常用的方法是ps -aux,然后再利用一個管道符號導(dǎo)向到grep去查找特定的進(jìn)程,然后再對特定的進(jìn)程進(jìn)行操作。zzlocalhost temp$ps aux|grep crond/查看包含crond所有進(jìn)程的信息USER PID %CPU % MEM VSZ RSS TTY STAT START TIME COMMANDroot 1723 0.0 0.4 1416 568 ?S 12:360:00 crondzz 8352 0.0 0.4 3568 624 t

17、ty1S 16:320:00 grep crond使用使用killkill終止一個進(jìn)程：終止一個進(jìn)程：zzlocalhost temp$kill 1723 /結(jié)束進(jìn)程號(PID)為1723的進(jìn)程（13）man指令zzlocalhost temp$man ls /查看ls指令的功能和使用方法網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理權(quán)限管理權(quán)限管理在UNIX系統(tǒng)家族里，文件或目錄權(quán)限的控制分別以讀取，寫入，執(zhí)行3種一般權(quán)限來區(qū)分，再搭配擁有者與所屬群組管理權(quán)限范圍。可以使用chmod指令去變更文件與目錄的權(quán)限，設(shè)置方式采用文字或數(shù)字代號皆可。使用方式 ：chmod -cf

18、vR mode file說明：說明： Linux/Unix Linux/Unix 的檔案調(diào)用權(quán)限分為三級的檔案調(diào)用權(quán)限分為三級 ： 檔案擁有者、群組、其他。檔案擁有者、群組、其他。參數(shù)參數(shù)modemode ：權(quán)限設(shè)定字串，格式如下：權(quán)限設(shè)定字串，格式如下： ugoa+-=rwx ugoa+-=rwx，其中，其中 u u 表示表示該檔案的擁有者，該檔案的擁有者，gg 表示與該檔案的擁有者屬于同一個群體表示與該檔案的擁有者屬于同一個群體(group)(group)者，者，oo表示其他以外的人，表示其他以外的人，aa 表示這三者皆是。表示這三者皆是。+ 表示增加權(quán)限、表示增加權(quán)限、- 表示取消權(quán)限、

19、表示取消權(quán)限、= 表示設(shè)定權(quán)限。表示設(shè)定權(quán)限。 r r 表示可讀取，表示可讀取，ww 表示可寫入，表示可寫入，xx 表示可執(zhí)行。表示可執(zhí)行。舉例舉例zzlocalhost temp$ls l sample.txtzzlocalhost temp$ls l sample.txt-rw-r-r- 1-rw-r-r- 1zzzzrootroot1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt/-rw-r-r- /-rw-r-r- /表示該文件為普通文件，所有者可以讀寫，表示該文件為普通文件，所有者可以讀寫，/root/root組和其他組

20、的用戶只讀組和其他組的用戶只讀zzlocalhost temp$chmod a+wr sample.txtzzlocalhost temp$chmod a+wr sample.txtzzlocalhost temp$ ls l sample.txtzzlocalhost temp$ ls l sample.txt-rw-rw-rw- 1-rw-rw-rw- 1zzzz root root1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理chmodchmod也可以用數(shù)字

21、來表示權(quán)限，語法為：也可以用數(shù)字來表示權(quán)限，語法為：chmod abc filechmod abc file，其中，其中a a，b b，c c各為一個數(shù)字，分各為一個數(shù)字，分別表示別表示UserUser、GroupGroup、及、及OtherOther的權(quán)限。的權(quán)限。 r=4 r=4，w=2w=2，x=1x=1若要若要rwxrwx屬性則屬性則4+2+1=74+2+1=7；若要；若要rw-rw-屬性則屬性則4+2=64+2=6；若要若要r-xr-x屬性則屬性則4+1=54+1=5。舉例舉例zzlocalhost temp$chmod 644 sample.txtzzlocalhost temp$

22、chmod 644 sample.txt/表示該文件所有者可以讀寫表示該文件所有者可以讀寫(6)(6)，/root/root組用戶只讀組用戶只讀(4)(4)，其他組的用戶只讀，其他組的用戶只讀(4)(4)zzlocalhost temp$ls l sample.txt zzlocalhost temp$ls l sample.txt -rw-r-r- 1 zz root-rw-r-r- 1 zz root1024010240Jan 21 15:40 sample.txtJan 21 15:40 sample.txt網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1基本管理基本管理常見問題及解決

23、方法常見問題及解決方法當(dāng)執(zhí)行指令時，提示“找不到該指令”：請切換到“root”用戶試試。使用chmod指令時出錯，檢查是否是該文件的擁有者。使用cat指令進(jìn)行進(jìn)行創(chuàng)建文件時，注意使用ctrl+c回到命令狀態(tài)。如果在圖形界面下操作出現(xiàn)假死機(jī)，可嘗試切換到命令行控制臺使用kill指令結(jié)束有關(guān)進(jìn)程。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理幾個重要文件幾個重要文件/etc/sysconfig/network：這個文件主要的功能在于設(shè)定主機(jī)名稱與啟動網(wǎng)絡(luò)一致。/etc/sysconfig/network-scripts/ifcfg-eth0：網(wǎng)卡參數(shù)的內(nèi)容就在這個文件里。/

24、etc/resolv.conf：這個文件時設(shè)定DNS的內(nèi)容。/etc/hosts：這個文件記錄計(jì)算機(jī)的IP對應(yīng)的主機(jī)名。網(wǎng)絡(luò)參數(shù)設(shè)定網(wǎng)絡(luò)參數(shù)設(shè)定ifconfig：查詢、設(shè)定網(wǎng)卡與IP網(wǎng)絡(luò)等相關(guān)參數(shù)。ifup，ifdown：這兩個指令通過更簡單的方式啟動或關(guān)閉網(wǎng)卡。route：查詢、設(shè)定路由表。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理網(wǎng)絡(luò)查錯與觀察網(wǎng)絡(luò)查錯與觀察ping：執(zhí)行ping指令會使用ICMP傳輸協(xié)議，發(fā)出要求回應(yīng)的信息，若遠(yuǎn)端主機(jī)的網(wǎng)絡(luò)功能沒有問題，就會回應(yīng)信息，因而得知該主機(jī)運(yùn)作正常。traceroute：traceroute指令讓你追蹤網(wǎng)絡(luò)數(shù)據(jù)包的路由

25、途徑節(jié)點(diǎn)狀況，預(yù)設(shè)數(shù)據(jù)包大小是40Bytes，用戶可另行設(shè)置。netstat：利用netstat指令可讓你得知整個Linux 系統(tǒng)的網(wǎng)絡(luò)情況。nslookup：實(shí)現(xiàn)主機(jī)名與IP地址的互相查詢。arp：顯示和修改地址解析協(xié)議(ARP)使用的“IP到物理”地址轉(zhuǎn)換表。封包封包執(zhí)行tcpdump指令可以將網(wǎng)絡(luò)中傳送數(shù)據(jù)包的“頭”完全截取下來提供分析。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理環(huán)境與網(wǎng)絡(luò)拓?fù)洵h(huán)境與網(wǎng)絡(luò)拓?fù)湟慌_安裝RHEL 6 操作系統(tǒng)的PC機(jī)，能夠連接互聯(lián)網(wǎng)，假定用戶root的密碼是：123456。主機(jī)名IP03Netmask255.2

26、55.255.0Network/24Broadcst55GatewayDNS IP5網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理rootlocalhost Desktop#hostname rootlocalhost Desktop#hostname /查看主機(jī)名查看主機(jī)名rootlocalhost Desktop#ifconfig rootlocalhost Desktop#ifconfig /查看所有的網(wǎng)絡(luò)接口查看所有的網(wǎng)絡(luò)接口rootlocalhost Desktop#ifc

27、onfig eth0rootlocalhost Desktop#ifconfig eth0/查看名稱為查看名稱為eth0eth0的網(wǎng)絡(luò)接口的網(wǎng)絡(luò)接口rootlocalhost Desktop#ifconfig eth0 03 rootlocalhost Desktop#ifconfig eth0 03 /設(shè)定第一塊網(wǎng)卡的設(shè)定第一塊網(wǎng)卡的IPIP地址為地址為0303，系統(tǒng)將會根據(jù)，系統(tǒng)將會根據(jù)/該該IPIP自動計(jì)算出自動計(jì)算出netmasknetmask、networknetwork及及broadcastbr

28、oadcast等參數(shù)。等參數(shù)。rootlocalhost Desktop#/etc/init.d/network restart rootlocalhost Desktop#/etc/init.d/network restart /重啟網(wǎng)絡(luò)，也可以用重啟網(wǎng)絡(luò)，也可以用service network restartservice network restartrootlocalhost Desktop#ifup eth0rootlocalhost Desktop#ifup eth0 / /啟動啟動eth0eth0網(wǎng)卡設(shè)備網(wǎng)卡設(shè)備rootlocalhost Desktop#ifdown eth0r

29、ootlocalhost Desktop#ifdown eth0 / /關(guān)閉關(guān)閉eth0eth0網(wǎng)卡設(shè)備網(wǎng)卡設(shè)備rootlocalhost Desktop#route add default gw rootlocalhost Desktop#route add default gw /增加預(yù)設(shè)路由，也就是默認(rèn)網(wǎng)關(guān)增加預(yù)設(shè)路由，也就是默認(rèn)網(wǎng)關(guān)rootlocalhost Desktop#/etc/init.d/network restart rootlocalhost Desktop#/etc/init.d/network restart /重啟網(wǎng)絡(luò)重啟

30、網(wǎng)絡(luò)網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理（3 3）設(shè)置）設(shè)置DNSDNS服務(wù)器服務(wù)器rootlocalhost Desktop#vi /etc/resolv.conf/rootlocalhost Desktop#vi /etc/resolv.conf/編輯編輯DNSDNS配置相關(guān)文件配置相關(guān)文件nameserver 5nameserver 5/保存文件退出，重啟網(wǎng)絡(luò)保存文件退出，重啟網(wǎng)絡(luò)（4 4）網(wǎng)絡(luò)觀察與查錯）網(wǎng)絡(luò)觀察與查錯rootlocalhost Desktop#ping 5 /rootl

31、ocalhost Desktop#ping 5 /測試測試DNSDNS服務(wù)器是否存在服務(wù)器是否存在PING 5(5) 56(84) bytes of data.PING 5(5) 56(84) bytes of data.64 bytes from 5:icmp_seq=1 tt1=60 time=28.8 ms64 bytes from 5:icmp_seq=1 tt1=60 time=28.8 msCC-5 ping

32、 statistics -5 ping statistics -4 packets transmitted,4 received,0% packet loss,time 3265ms4 packets transmitted,4 received,0% packet loss,time 3265msRtt min/avg/max/mdev =26.854/28.022/28.880/0.817 msRtt min/avg/max/mdev =26.854/28.022/28.880/0.817 msrootlocalhost Desktop#traceroute root

33、localhost Desktop#traceroute /顯示數(shù)據(jù)包到顯示數(shù)據(jù)包到間的路徑間的路徑rootlocalhost Desktop#netstat rn /rootlocalhost Desktop#netstat rn /列出目前的路由表狀態(tài)列出目前的路由表狀態(tài)rootlocalhost Desktop#netstat an /rootlocalhost Desktop#netstat an /列出目前的所有網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)列出目前的所有網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)rootlocalhost Desktop#netstat tulnp /rootlocalhost Desktop#netstat t

34、ulnp /列出所有已經(jīng)啟動的網(wǎng)絡(luò)服務(wù)列出所有已經(jīng)啟動的網(wǎng)絡(luò)服務(wù)rootlocalhost Desktop#nslookup .hk rootlocalhost Desktop#nslookup .hk /查詢查詢.hk主機(jī)的主機(jī)的IPIP地址信息地址信息Server:Server:55Address:Address:5#535#53Non-authoritative answer:Non-authoritative answer:.hk canonical name = www-g-com-hk-.hk

35、canonical name = www-g-com-hk-.Name:Name:www-g-com-hk-www-g-com-hk-Address: 9Address: 9網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.2網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理arparp指令使用指令使用rootlocalhost Desktop#arp/查看ARP表Address HWtype HWaddress Flags Mask Iface01 ether 00:1d:92:7d:d1:c3 C eth0 ether 00:1d:0

36、f:47:55:74 C eth0 rootlocalhost Desktop# arp -s 6 00:15:F2:AF:3F:09 /添加靜態(tài)ARP項(xiàng)rootlocalhost Desktop#arp d /清空ARP緩存封包封包tupdump指令不但可以分析包的流向，包的內(nèi)容也可以進(jìn)行監(jiān)聽。rootlocalhost Desktop#tcpdump i eth0 nn /以IP和端口捕獲eth0網(wǎng)卡的數(shù)據(jù)包按下【ctrl】+C結(jié)束rootlocalhost Desktop#tcpdump i eth0 nn port 21 /只捕獲21端口的數(shù)據(jù)包 網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)

37、踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理端口端口通過“IP地址+端口號”來區(qū)分不同的服務(wù)。端口分為兩種，一種是TCP端口，一種是UDP端口。相關(guān)指令相關(guān)指令netstat：顯示網(wǎng)絡(luò)狀態(tài)。iptables：建立過濾規(guī)則，并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。iptablesiptables通過使用iptables系統(tǒng)提供的特殊指令iptables建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。關(guān)于添加、去除、編輯規(guī)則的指令，一般語法如下： iptables -t table command match target網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5

38、.1.3安全管理安全管理表表-t table-t table選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表。表是包含僅處選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表。表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。有三個可用的表理特定類型信息包的規(guī)則和鏈的信息包過濾表。有三個可用的表選項(xiàng)：選項(xiàng)：filterfilter、natnat和和manglemangle。該選項(xiàng)不是必需的，如果未指定，。該選項(xiàng)不是必需的，如果未指定，則則filterfilter作為缺省表。作為缺省表。commandcommand部分是部分是iptablesiptables指令最重要的部分。它告訴指令最重要的部分。它告訴iptablesiptab

39、les指令指令要做什么，例如插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。要做什么，例如插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。 匹配（匹配（matchmatch）部分指定信息包與規(guī)則匹配所應(yīng)具有的特征（如源）部分指定信息包與規(guī)則匹配所應(yīng)具有的特征（如源地址、目的地址、協(xié)議等）。匹配分為通用匹配和特定于協(xié)議的地址、目的地址、協(xié)議等）。匹配分為通用匹配和特定于協(xié)議的匹配兩大類。匹配兩大類。目標(biāo)（目標(biāo)（targettarget）是由規(guī)則指定的操作，對與那些規(guī)則匹配的信息）是由規(guī)則指定的操作，對與那些規(guī)則匹配的信息包執(zhí)行這些操作。除了允許用戶定義的目標(biāo)之外，還有許多可用包執(zhí)行這些操作。除了允許用戶定義

40、的目標(biāo)之外，還有許多可用的目標(biāo)選項(xiàng)。的目標(biāo)選項(xiàng)。 網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理端口查看端口查看rootlocalhost Desktop#netstat tunl /列出正在監(jiān)聽的網(wǎng)絡(luò)服務(wù)rootlocalhost Desktop# netstat tun /列出已連接的網(wǎng)絡(luò)聯(lián)機(jī)狀態(tài)rootlocalhost Desktop# netstat tunp /以PID列出監(jiān)聽的網(wǎng)絡(luò)服務(wù)rootlocalhost Desktop#kill -9 2554 /假設(shè)進(jìn)程ID是2554，/通過結(jié)束進(jìn)程來關(guān)閉該網(wǎng)絡(luò)服務(wù)防火墻開啟與關(guān)閉防火墻開啟與關(guān)閉rootloca

41、lhost Desktop# service iptables start /啟動rootlocalhost Desktop# service iptables stop /關(guān)閉網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理典型的典型的/etc/sysconfig/iptables/etc/sysconfig/iptables文件內(nèi)容。文件內(nèi)容。# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*

42、filter:INPUT ACCEPT 0:0:FORWARD ACCEPT 0:0:OUTPUT ACCEPT 0:0-A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -m state -state NEW -m tcp -p tcp -dport 22 -j ACCEPT-A INPUT -j REJECT -reject-with icmp-host-prohibited-A FORWARD -j REJECT -

43、reject-with icmp-host-prohibitedCOMMIT網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理查看規(guī)則集查看規(guī)則集rootlocalhost Desktop#iptables list/查看規(guī)則集Chain INPUT (policy ACCEPT)target prot opt sourcedestination ACCEPT all - anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp - anywhere anywhere ACCEPT all - anywhere anyw

44、here ACCEPT tcp - anywhere anywhere state NEW tcp dpt:ssh REJECT all - anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT)target prot opt source destination REJECT all - anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT)target prot opt source

45、 destination網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理設(shè)置缺省策略設(shè)置缺省策略rootlocalhost Desktop# iptables -P INPUT DROP /設(shè)置缺省的策略rootlocalhost Desktop#iptables -P FORWARD DROP /設(shè)置缺省的策略rootlocalhost Desktop#iptables -P OUTPUT ACCEPT /設(shè)置缺省的策略網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.1.3安全管理安全管理自定義防火墻策略自定義防火墻策略rootlocalhost Desktop#ipt

46、ables -t filter -A INPUT -s 123.456.789.0/24 -j DROP/阻止來自某一特定IP范圍內(nèi)的數(shù)據(jù)包rootlocalhost Desktop# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP /阻止所有流向攻擊者IP地址的數(shù)據(jù)包rootlocalhost Desktop# iptables -D INPUT -dport 80 -j DROP /只接受來自指定端口（服務(wù)）的數(shù)據(jù)報(bào)rootlocalhost Desktop#iptables -A FORWARD -p udp -d 198

47、.168.80.0/24 -i eth0 -j ACCEPT/允許轉(zhuǎn)發(fā)所有到本地的udp數(shù)據(jù)報(bào)（諸如即時通信等軟件產(chǎn)生/的數(shù)據(jù)報(bào)）rootlocalhost Desktop#iptables -A FORWARD -p tcp -d 1 -dport www -i eth0 -j REJECT/拒絕發(fā)往WWW服務(wù)器的客戶端的請求數(shù)據(jù)報(bào)rootlocalhost Desktop# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP /刪除現(xiàn)有的規(guī)則rootlocalhost Desktop# iptables-

48、save iptables-script /規(guī)則的保存rootlocalhost Desktop# iptables-restore iptables-script /恢復(fù)規(guī)則集網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2基本服務(wù)基本服務(wù)遠(yuǎn)程聯(lián)機(jī)服務(wù)器遠(yuǎn)程聯(lián)機(jī)服務(wù)器對于遠(yuǎn)程管理Linux 系統(tǒng)非常有用。一般的操作系統(tǒng)中都提供了Telnet的遠(yuǎn)程方式，但是Telnet采用明文傳輸數(shù)據(jù)，帶來很大安全隱患。SSH（Secure Shell protocol）服務(wù)器采用密文傳輸數(shù)據(jù)，但是使用的還是文本登錄。如果使用圖形界面遠(yuǎn)程登錄可以使用VNC（Virtual Network Computing

49、）相關(guān)軟件進(jìn)一步設(shè)置X Window登錄系統(tǒng)。網(wǎng)上鄰居網(wǎng)上鄰居是一個可以方便地訪問局域網(wǎng)內(nèi)其他Windows計(jì)算機(jī)資源的共享方式，為了方便Linux 用戶和Windows用戶共享資源，Samba服務(wù)器成為溝通Windows和Linux 的橋梁。DHCPDHCP（Dynamic Host Configuration ProtocolDynamic Host Configuration Protocol）是一種幫助計(jì)算機(jī)從指定的DHCP服務(wù)器獲取網(wǎng)絡(luò)配置信息的自舉協(xié)議，DHCP主機(jī)能夠自動將網(wǎng)絡(luò)參數(shù)分配給網(wǎng)段內(nèi)的每一臺計(jì)算機(jī)，讓客戶端的計(jì)算機(jī)在啟動的時候可以自動設(shè)置網(wǎng)絡(luò)參數(shù)。FTPFTP（File

50、 Transfer ProtocolFile Transfer Protocol）服務(wù)）服務(wù)是Internet最古老的協(xié)議之一，是上傳/下載的主要工具。但是這個協(xié)議使用明碼傳輸，很不安全，為了更加安全的使用這個協(xié)議，可以使用功能較少但更安全的vsftpd軟件。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置rpmrpm指令指令rpm是Red Hat Linux 發(fā)行版專門用來管理Linux 各項(xiàng)套件的程序，由于它遵循GPL規(guī)則且功能強(qiáng)大方便，因而廣受歡迎，逐漸受到其他發(fā)行版的采用。TelnetTelnet服務(wù)服務(wù)Telnet是歷史悠久的遠(yuǎn)程聯(lián)機(jī)服務(wù)器，

51、相關(guān)軟件比較多，缺點(diǎn)就是使用明文傳輸數(shù)據(jù)。如果要提供Telnet服務(wù)需要兩個相關(guān)軟件，一個是客戶端軟件telnet，另一個是服務(wù)器端軟件telnet-server。SSHSSH服務(wù)服務(wù)在默認(rèn)的狀態(tài)下，SSH服務(wù)提供兩個服務(wù)器功能，一個類似Telnet遠(yuǎn)程登錄使用Shell的服務(wù)器，另一個是更安全的類似FTP的服務(wù)。在客戶端對應(yīng)登錄指令分別是：ssh和sftp。VNCVNC服務(wù)服務(wù)通過VNC Server與VNC Client軟件的互相配合，VNC可以進(jìn)行較快速的數(shù)據(jù)傳輸；如果要漂亮一點(diǎn)，可以配合XCDMP使用；也可通過啟動KDE或GNOME來代為管理。網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教

52、程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置環(huán)境與網(wǎng)絡(luò)拓?fù)洵h(huán)境與網(wǎng)絡(luò)拓?fù)湟慌_安裝RHEL 6 操作系統(tǒng)的PC機(jī)，假定用戶root的密碼是：123456，另一臺安裝Windows XP系統(tǒng)的PC機(jī)。兩臺主機(jī)在一個局域網(wǎng)內(nèi)，網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置配置配置TelnetTelnet服務(wù)器服務(wù)器安裝軟件rootlocalhost Desktop# rpm qa |grep telnet rootlocalhost Desktop# rpm qa |grep telnet /確認(rèn)是否已經(jīng)安裝確認(rèn)是否已經(jīng)安裝TelnetTelnet有關(guān)

53、軟件。有關(guān)軟件。/如果沒有安裝可以從安裝光盤找到有關(guān)如果沒有安裝可以從安裝光盤找到有關(guān)rpmrpm軟件，進(jìn)行安軟件，進(jìn)行安裝裝rootlocalhost Desktop#rpm ivh telnet-server-rootlocalhost Desktop#rpm ivh telnet-server-0.17-46.el6.i686.rpm 0.17-46.el6.i686.rpm /安裝安裝TelnetTelnet服務(wù)器端軟件服務(wù)器端軟件 rootlocalhost Desktop#rpm ivh telnet-0.17-rootlocalhost Desktop#rpm ivh telne

54、t-0.17-46.el6.i686.rpm 46.el6.i686.rpm /安裝安裝TelnetTelnet客戶端軟件客戶端軟件網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置將將xinetdxinetd里面有關(guān)里面有關(guān)TelnetTelnet的項(xiàng)目開啟的項(xiàng)目開啟rootlocalhost Desktop#vi /etc/xinetd.d/telnetdisable= yes /改為disable= norootlocalhost Desktop#service xinetd restart /重啟xinetd服務(wù)開放開放TCPTCP端口端口232

55、3rootlocalhost Desktop#vi /etc/sysconfig/iptables /添加下面的文字-A INPUT -m state -state NEW -m tcp -p tcp -dport 23 -j ACCEPTrootlocalhost Desktop#service iptables restart /重啟防火墻測試測試TelnetTelnet服務(wù)服務(wù)rootlocalhost Desktop#telnet 03 /輸入用戶名和密碼進(jìn)行登錄網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置配置配置SS

56、HSSH服務(wù)器服務(wù)器安裝軟件rootlocalhost Desktop#rpm qa|grep openssh-serverrootlocalhost Desktop#rpm qa|grep openssh-server/如果返回為空，則執(zhí)行如下指令如果返回為空，則執(zhí)行如下指令/RHEL 6/RHEL 6默認(rèn)安裝默認(rèn)安裝OpenSSHOpenSSH服務(wù)器和客戶端。服務(wù)器和客戶端。rootlocalhost # rpm ivh openssh-server-5.3p1-20.el6.i686.rpm rootlocalhost # rpm ivh openssh-server-5.3p1-20.

57、el6.i686.rpm /安裝安裝SSHSSH服務(wù)器軟件服務(wù)器軟件啟動SSH服務(wù)rootlocalhost Desktop#service sshd restart rootlocalhost Desktop#service sshd restart /啟動啟動SSHSSH服務(wù)服務(wù)開放TCP端口22rootlocalhost Desktop#vi /etc/sysconfig/iptablesrootlocalhost Desktop#vi /etc/sysconfig/iptables-A INPUT -m state -state NEW -m tcp -p tcp -dport 22

58、-j ACCEPT-A INPUT -m state -state NEW -m tcp -p tcp -dport 22 -j ACCEPTrootlocalhost Desktop#service iptables restart /rootlocalhost Desktop#service iptables restart /重啟防火墻重啟防火墻網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置測試測試客戶端使用方式：如果是Windows平臺，可以使用非常好用的綠色軟件PuTTY；如果是Linux 平臺，只要安裝有openss-clients，使用

59、ssh指令即可。rootlocalhost Desktop#ssh 03 /連接IP地址為03的SSH服務(wù)器網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程網(wǎng)絡(luò)工程實(shí)訓(xùn)和實(shí)踐教程5.2.1遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置遠(yuǎn)程聯(lián)機(jī)服務(wù)器配置配置配置VNCVNC服務(wù)器服務(wù)器安裝軟件rootlocalhost Desktop#rootlocalhost Desktop#rpm ivh tigervnc-server-1.0.90-0.10.20100115svn3945.el6.i686.rpmrpm ivh tigervnc-server-1.0.90-0.10.20100115svn3945

60、.el6.i686.rpm/安裝安裝VNCVNC服務(wù)器端軟件服務(wù)器端軟件創(chuàng)建VNC用戶：rootlocalhost Desktop#vi /etc/sysconfig/vncservers /rootlocalhost Desktop#vi /etc/sysconfig/vncservers /編輯配置文件編輯配置文件VNCSERVERS=1:zz VNCSERVERS=1:zz /創(chuàng)建創(chuàng)建VNCVNC用戶用戶zzzzVNCSERVERARGS1=-geometry 800 x600 VNCSERVERARGS1=-geometry 800 x600 -nolisten tcp -nohttpd -localhost