网络操作系统复习资料
1、第八章 Samba服务器2、第八章 NFS服务器3、第十章 Linux下DNS服务器配站点,域名解析概念命令:启动,退出,结束访问方式:端口,启动,配置文件【路径】名词解释:是什么+特点综合:配置文件/描述一组服务的配置过程(Linux)模板:FTP:1、创建用户#useradd2、设置主目录所有者、权限3、修改配置文件(路径)4、启动方式,访问方式DNSWEB第一章 网络操作系统概论1.操作系统的概念操作系统(Operating System—缩写为OS)是一种系统软件。它管理计算机系统的全部软硬件资源和对程序的执行进行控制, 使硬件的功能发挥得更好,还能使用户方便使用硬件提供的计算机功能。设置操作系统的目的是提高资源使用效率和方便用户使用。从资源管理的观点来看,操作系统的功能主要包括:作业管理,进程管理,存储管理,文件管理和设备管理。2.网络操作系统的概念(课本)网络操作系统(NOS)可以理解为网络用户与计算机网络之间的接口,它是专门为网络用户提供操作接口的系统软件。除了管理计算机的软件和硬件资源,具备单机操作系统所有的功能外,还具有向网络计算机提供网络通信和网络资源共享的功能的操作系统,并且为网络用户提供各种网络服务。(课件)网络操作系统既有单机操作系统的功能,还具有对整个网络的资源进行协调管理,实现计算机之间高效可靠的通信,提供各种网络服务和为网上用户提供便利的操作与管理平台等网络管理功能。 网络操作系统的基本任务是用统一的方法管理各主机之间的通信和共享资源的利用,它是以使网络相关特性最佳为目的的。对于网络用户,操作系统应能够提供资源的共享、数据的传输,同时操作系统能够提供对资源的排他访问。3网络操作系统的基本功能1)网络通信(网络最基本功能):其任务是在源主机和目标主机之间,实现无差错的透明的数据传输。2)资源管理:采用有效的方法统一管理网络中的共享资源(硬件和软件),协调各用户对共享资源的使用,保证数据的安全性和一致性,使用户在访问远程共享资源时能像访问本地资源一样方便。3)网络服务:方便用户提供多种有效网络服务。如电子邮件服务,文件传输、存取和管理服务,共享硬件服务以及共享打印服务。4)网络管理:最主要的任务是安全管理,通过“存取控制”来确保数据的安全性,通过“容错技术”来保证系统故障时数据的安全性。此外,还包括对网络设备故障进行检测,对使用情况进行统计,以及为提高网络性能和记账而提供必要的信息。5)互操作:把若干相同或不同的设备和网络互联,用户可以透明地访问各服务点、主机,以实现更大范围的用户通信和资源共享。6)提供网络接口:向用户提供一组方便有效的、统一的、取得网络服务的接口以改善用户界面,如命令接口、菜单、窗口等。4网络操作系统的特点1)硬件独立性:应当独立于具体的硬件平台,支持多平台,即系统应该可以运行于各种硬件平台之上。2)网络特性:能够连接不同的网络,提供必要的网络连接支持。能够支持各种网络协议和网络服务。具有网络管理的工具软件,能够方便的完成网络的管理。3)极高的安全性:能够进行系统安全性保护和各类用户的存取权限控制。能够对用户资源进行控制,提供用户对网络的访问方法。4)可移植性和可集成性5网络操作系统的分类(常用的网络操作系统)UNIX系列,Linux操作系统,NetWare,Windows系列:Windows NT/2000/2003/2008第二章进程管理1.进程的定义人们对进程下过许多定义。现列举其中的几种:进程是程序的一次执行。进程是可以和别的进程并发执行的计算。进程就是一个程序在给定活动空间和初始条件下,在一个处理机上的执行过程。进程是程序在一个数据集合上的运行过程,它是系统进行资源分配和调度的一个独立单位进程是动态的,有生命周期的活动。内核可以创建一个进程,最终将由内核终止该进程使其消亡。2.进程和程序的区别和联系进程和程序是两个完全不同的概念,但又有密切的联系。它们之间的主要区别是:程序是静态的概念;而进程则是程序的一次执行过程。它是动态的概念。进程是一个能独立运行的单位,能与其它进程并发执行;而程序是不能作为一个独立运行的单位而并发执行的。程序和进程无一一对应的关系。各个进程在并发执行过程中会产生相互制约关系,而程序本身是静态的,不存在这种异步特征。3线程与进程的比较:(1)进程是资源分配的基本单位。同一进程的所有线程共享该进程的所有资源。(2)线程是分配处理机的基本单位,它与资源分配无关。(3)一个线程只能属于一个进程,而一个进程可以有多个线程,但至少有一个线程。(4)线程在执行过程中,需要协作同步。4引入线程的好处有以下几点:1)易于调度。2)提高了系统的效率。3)创建一个线程比创建一个进程花费的开销少,创建速度快。4)有利于发挥多处理器的功能,提高进程的并行性。5.windows常用进程 进程名 Csrss.exe Explorer.exe Internat.exe Lsass.exe Mstask.exe Smss.exe Spoolsv.exe Svchost.exe Services.exe Taskmgr.exe Winlogon.exe Winmgmt.exe System Idle Process 描述子系统服务器进程 资源管理器 托盘区的拼音图标 管理 IP 安全策略允许程序在指定时间运行 Session Manager 将文件加载到内存中以便打印 Win 2000/XP 的文件保护系统 包含很多系统服务Windows任务管理 管理用户登录提供系统管理信息(系统服务)用于统计剩余的CPU资源情况,此进程是不可以从任务管理器中关掉的 有时会碰到一些进程,象“winjava.exe”病毒的进程,在任务管理器里是终止不了的,可以借助ntsd 在命令行下终止进程。ntsd从2000开始就是系统自带的用户态调试工具。 开个cmd.exe窗口,输入命令: c:\>ntsd -c q -p PID 其中:-c是执行调试命令,q是退出,-p是指用pid来处理。6.Linux进程启动输入需要运行的程序名,执行一个程序,其实就是启动了一个进程。启动一个进程有两种途径:手工启动和调度启动。后者是事先进行设置,根据用户需要自行启动1)手工启动①前台启动: # find /-name fox.jpg②后台启动: #find /-name fox.jpg>findresult.txt & [1] 9137后台进程在命令结尾加上一个“&”号,输入命令后,出现一个数字,即PID,用户可以继续其他操作。这两者启动方式共同点:新进程都是由当前shell进程产生的,shell是父进程,新进程是子进程。一般子进程结束后才能结束父进程,如果是从后台启动,那么就不需要等待子进程结束了。管道进程: # ls –al | more 此命令同时启动了3个进程,所有放在管道两边的进程将被同时启动,它们都是当前shell的子程序,互相成为兄弟进程2)调度进程(#at #cron #batch 之间的区别,例如谁可以重复执行)At命令:在指定时刻执行指定的命令序列at [-v] [-q 队列] [-f 文件名] [-mldbv] 时间-v 将标准版本号打印到标准的错误中-q queue 使用指定的队列,队列名由单个字母组成。-m 作业结束后发送邮件给执行at命令的用户-f file 使用命令从指定的file中读取,而不是从标准输入读取-c 将命令行上所列的作业送到标准输出例1:在三天后下午4点执行文件work中的作业:# at –f work 4pm +3 day例2:找出系统中所有.txt为后缀的文件,并进行打印,打印结束后,给用户ncs发邮件通知取文件,指定时间:12月25日凌晨2点#at 2:00 12/25/2007at>find /-name “*.txt” | lprat>echo “ncs:All texts have been printed.You can take them over!” |mail –s “job done” ncs如果命令序列较长或经常被执行时,可将该序列写到一个文件中,然后将文件作为at命令的输入来处理:如:将上例命令写入文件:/tmp/printjob# at –f /tmp.printjob 2:00 12/25/2007或 # at < /tmp.printjob 2:00 12/25/2007在任何情况下,超级用户都可以使用这个命令,对于其他用户,是否能使用取决于/etc/at.allow和/etc/at.deny两个文件,如果/etc/at.allow存在,则只有在其中列出的用户可以使用at命令,如果该文件不存在,检查/etc/at.deny,如存在,在此文件中泪出的用户均不能使用该命令,空的/etc/at.deny意味着所有的用户都可以使用该命令batch命令 用于低优先级运行作业,功能与at相同,只是batch在系统负载较低,资源较空闲的时候执行,适用于执行占资源比较多的命令cron命令at和batch命令都只能执行一次,cron可重复执行一些命令7.Linux进程查看who命令:用于查看当前在线的用户情况# who –uH (以标题方式察看登录的用户)NAME:登录用户帐号 LINE:登录使用的终端TIME:登录时间 IDLE:显示用户空闲时间(”.” 表示该用户前1秒仍是活动的)COMMENT:用户从什么地方登录的网络地址w命令:不但可以显示有谁登录到系统,还可以显示这些用户正在进行的工作w命令的显示项目:当前时间、系统启动到现在的时间、登录用户的数目、系统最近1s,5s和15s的平均负载。以及每个用户的各项数据:登陆帐号、终端名称、远程主机名、登录时间、空闲时间、JCPU、PCPU、当前正在运行的进程命令行•JCPU:与该终端连接的所有进程占用的时间,其中不包括过去的后台作业时间,但包括当前正在运行的后台作业所占用的时间•PCPU:当前进程(what项中显示的进程)所占用的时间ps命令 最基本,同时也是非常强大的进程查看命令,该命令可确定有哪些进程正在运行以及运行的状态,进程是否结束,进程有没有僵死,哪些进程占用了过多的资源ps命令最常用于监控后台进程的工作情况,后台进程是不和屏幕,键盘这些标准输入/输出设备通信的,需检测其情况时,可使用ps# ps 显示4项:PID(进程ID)、TTY(终端名)、TIME(进程执行时间)、COMMAND(进程命令行输入)ps命令只能显示所有控制终端的进程,对于没有控制终端的进程需使用x选项来查看#ps x使用a选项可查看当前所有用户的所有进程,使用aux组合选项,可显示最详细的进程情况#ps auxtop命令:是一个动态显示进程的过程,可通过用户按键不断刷新当前状态监视(默认5s更新一次)显示项目:uptime:显示系统启动时间,已经运行的时间和3个平均负载值processes:自最近一次刷新以来的运行CPU status:显示用户模式,系统模式,优先级进程和闲置等各种情况所占用CPU时间的百分比Mem:内存使用情况统计 swap:交换空间统计 PRI:每个进程的优先级NI:该进程的优先级值 LIB:使用的库页的大小SIZE:进程的代码大小+数据大小+堆栈空间大小(单位KB)RSS:该进程占用的物理内存总数量(单位KB) SHARE:该进程使用共享内存数量STAT:该进程的状态:S:休眠状态;D:不可中断的休眠状态;R:运行状态;Z:僵死状态;T:停止或跟踪状态TIME:该进程自启动以来所占用的总CPU时间%CPU:该进程最近一次刷新以来所占用的CPU时间相对总时间的百分比 %MEM:该进程占用物理内存相对总内存的百分比 8.Linux进程结束kill命令 #kill PID 例如:# kill 4840# kill -9 对于僵尸进程,可用其强制终止退出killall命令 通过程序名,直接杀死所有进程第三章 磁盘管理1.磁盘的物理结构 1 盘体从物理的角度分为磁面(Side)、磁道(Track)、柱面(Cylinder)与扇区(Sector)等4个结构。2磁盘的分区一般要将硬盘分成主引导扇区、操作系统引导扇区、FAT、DIR和Data等五部分。即:主引导扇区,操作系统引导扇区,文件分配表,目录区,数据区。 主引导扇区 主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。MBR是由分区程序产生的,不同的操作系统可能这个扇区是不尽相同。操作系统引导扇区 OBR(OS Boot Record)即操作系统引导扇区,通常位于硬盘的0磁道1柱面1扇区(这是对于DOS来说的,对于那些以多重引导方式启动的系统则位于相应的主分区/扩展分区的第一个扇区),是操作系统可直接访问的第一个扇区,它也包括一个引导程序和一个被称为BPB(BIOS Parameter Block)的本分区参数记录表。其实每个逻辑分区都有一个OBR,其参数视分区的大小、操作系统的类别而有所不同。引导程序的主要任务是判断本分区根目录前两个文件是否为操作系统的引导文件。PB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数、分配单元(Allocation Unit,也称之为簇)的大小等重要参数。OBR由高级格式化程序产生。文件分配表 FAT(File Allocation Table)即文件分配表,是DOS/Win9x系统的文件寻址系统,为了数据安全起见,FAT一般做两个,第二FAT为第一FAT的备份, FAT区紧接在OBR之后,其大小由本分区的大小及文件分配单元的大小决定。关于FAT的格式历来有很多选择,Microsoft 的DOS及Windows采用我们所熟悉的FAT12、FAT16和FAT32格式,但除此以外并非没有其它格式的FAT, Windows NT、OS/2、UNIX/Linux、Novell等都有自己的文件管理方式。 目录区 DIR是Directory即根目录区的简写,DIR紧接在第二FAT表之后,只有FAT还不能定位文件在磁盘中的位置,FAT还必须和DIR配合才能准确定位文件的位置。DIR记录着每个文件(目录)的起始单元(这是最重要的)、文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在磁盘的具体位置及大小了。在DIR区之后,才是真正意义上的数据存储区,即DATA区。 数据区 DATA虽然占据了硬盘的绝大部分空间,但没有了前面的各部分,它对于我们来说,也只能是一些枯燥的二进制代码,没有任何意义。在这里有一点要说明的是,我们通常所说的格式化程序(指高级格式化,例如DOS下的Format程序),并没有把DATA区的数据清除,只是重写了FAT表而已,至于分区硬盘,也只是修改了MBR和OBR,绝大部分的DATA区的数据并没有被改变,这也是许多硬盘数据能够得以修复的原因。3磁盘分区方式我们平时说到的分区概念,不外乎三种:主分区、扩展分区和逻辑分区。主分区是一个比较单纯的分区,通常位于硬盘的最前面一块区域中,构成逻辑C磁盘。在主分区中,不允许再建立其它逻辑磁盘。(主分区不能超过4个)扩展分区 所谓扩展分区,严格地讲它不是一个实际意义的分区,它仅仅是一个指向下一个分区的指针,这种指针结构将形成一个单向链表。这样在主引导扇区中除了主分区外,仅需要存储一个被称为扩展分区的分区数据,通过这个扩展分区的数据可以找到下一个分区的起始位置,以此起始位置类推可以找到所有的分区。无论系统中建立多少个逻辑磁盘,在主引导扇区中通过一个扩展分区的参数就可以逐个找到每一个逻辑磁盘。逻辑分区 扩展分区是不能直接用的,它以逻辑分区的方式来使用,所以说扩展分区可分成若干逻辑分区。所有的逻辑分区都是扩展分区的一部分 4计算磁盘容量(物理角度)磁道也就是在格式化磁盘时盘片上被划分出来的许多同心圆。最外层的磁道为0道,并向着磁面中心增长。每个扇区可以存放512个字节的信息。 磁盘的柱面数与一个盘面上的磁道数是相等的。硬盘的CHS即Cylinder(柱面)、Head(磁头)、Sector(扇区),只要知道了硬盘的CHS的数目,即可确定硬盘的容量硬盘的容量=柱面数×磁头数×扇区数×512B5计算磁盘容量(逻辑角度)硬盘的容量=主分区的容量+扩展分区的容量 扩展分区的容量=各个逻辑分区的容量之和 第四章 文件系统及用户管理1.FAT文件系统的优缺点FAT文件系统的优点:FAT文件系统的优点主要是所占容量与计算机的开销很小,支持各种操作系统,在多种操作系统之间可移植。这种可以移植性使FAT文件系统可以方便地用于传送数据,但同时也带来较大的安全性隐患。从机器上拆下FAT格式的硬盘,几乎可以把它装到任何其他计算机上,不需要任何专用软件即可直接读出。FAT文件系统的缺点:容易受损害 :FAT文件系统损坏时,计算机将面临瘫痪单用户不保存文件的权限信息;只包含隐藏、只读等公共属性 非最佳更新策略 在磁盘的第一个扇区保存其目录信息 没有防止碎片的最佳措施 文件名长度受限2.NTFS文件系统的优缺点:NTFS文件系统的优点:(1个能力,2个更好,3个文件夹,4个支持)更为安全的文件保障,提供文件加密,能够大大提高信息的安全性。更好的磁盘压缩功能;支持最大达2TB的大硬盘,并且随着磁盘容量的增大,NTFS的性能不像FAT那样随之降低;可以赋予单个文件和文件夹权限:对同一个文件或者文件夹为不同用户可以指定不同的权限;可以为单个用户设置权限;恢复能力:用户在NTFS卷中很少需要运行磁盘修复程序。在系统崩溃事件中,NTFS文件系统使用日志文件和复查点信息自动恢复文件系统的一致性;NTFS文件夹的B-Tree结构使得用户在访问较大文件夹中的文件时,速度甚至较访问卷中较小文件文中的文件还快;可以在NTFS卷中压缩单个文件和文件夹。且用户不需要使用解压软件将这些文件展开,而直接读写压缩文件;支持活动目录和域:可以帮助用户方便灵活地查看和控制网络资源;支持稀疏文件:应用程序生成的一种特殊文件,它的文件尺寸非常大,但实际上只需要很少的磁盘空间;NTFS只需要给这种文件实际写入的数据分配磁盘存储空间;支持磁盘配额:可以管理和控制每个用户所能使用的最大磁盘空间。一个文件或目录可能有读、写及执行权限NTFS文件系统的缺点:(虚拟机或是磁盘压缩不适宜使用NTFS。)NTFS虽然有诸多优点,但这些都是针对传统机械硬盘而设计的,对于新兴的Flash 闪存材料不一定适用。NTFS分区是采用“日志式”的文件系统,因为要记录磁盘的详细读写操作,对U盘这种闪存储介质会造成较大的负担,比如同样存取一个文件或目录,在NTFS系统上的读写次数就会比FAT32来得多,理论上NTFS格式的U盘比较容易损坏,而且400MB以下的分区也比FAT16更浪费空间。3.NTFS权限的类型(课件):(1)读取。此权限可以读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。(2)写入。此权限可以覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。(3)读取及运行。除了具有“读取”的所有权限,还具有运行应用程序的权限。(4)修改。除了拥有“写入”、“读取及运行”的所有权限外,还具有更改文件内的数据,删除文件、改变文件名等权限。NTFS文件与文件夹的权限类型(课本):1)标准NTFS文件权限的类型读取:允许用户读取文件内的数据,查看文件的属性。写入:此权限可以将文件覆盖,改变文件的属性。读取及运行:除了“读取”的权限外,还有运行应用程序的权限。修改:除了“写入”与“读取与运行”权限外,还有更改文件数据、删除文件、改变文件名等权限。完全控制:它拥有上面提到的所有的NTFS权限,另外,还拥有“修改权限”和“取得所有”权限2)标准NTFS文件夹权限的类型读取:此权限可以查看文件夹内的文件名称、子文件夹的属性。写入:可以在文件夹里写入文件与文件夹,更改文件的属性。列出文件夹目录:除了“读取”权限外,还有“列出文件夹目录”的权限。即使用户对此文件夹没有访问权限。读取及运行:它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同,“读取及运行”是文件与文件夹同时继承,而“列出文件夹目录”只具有文件夹的继承性。修改:它除了具有“写入”与“读取与运行”权限外,还有删除、重命名子文件夹的权限。完全控制:它具有所有的NTFS文件夹权限。2、网络操作系统使用哪种文件系统?为什么?(非标准答案)NTFS系统。NTFS分区具有极高的安全性和稳定性,在使用中不易产生文件碎片。它能对用户的操作进行记录,通过对用户权限进行非常严格的限制,使每个用户只能按照系统赋予的权限进行操作,充分保护了系统与数据的安全。第5章 活动目录活动目录的概念和简介活动目录(Active Directory)是一种目录服务,它存储有关网络对象(如用户、组、计算机、共享资源、打印机和联系人等)的信息,并使管理员和用户可以方便地查找和使用这些网络信息。域(domain)仍然是Windows 2000目录服务的基本管理单位,但增加了许多新的功能。 活动目录服务把域详细划分成组织单位,组织单位是一个逻辑单位,它是域中一些用户和组、文件与打印机等资源对象的集合。 域(Domain)是活动目录的分区,定义了安全边界,在没经过授权的情况下,不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成,每一个域可以存储上百万个对象,域之间还有层次关系,可以建立域树和域林,进行无限地域扩展。图中的双箭头表示域之间的信任关系,Windows 2000中域的信任关系都是双向和可传递的。第6章操作系统网络管理1各种协议在网络模型的哪一层2网络设置和查询的指令Window下:ipconfigLinux下:ifconfig nslookup(域名)在NFS配置网络ip信息命令举例:#ifconfig eth0 192.168.168.150 netmask 255.255.255.0 up //配置IP和子网掩码#route add default gw 192.168.168.1 //添加路由默认网关第七章文件共享服务(本章不要求写配置,但会考填空解释)在Linux中访问Windows系统提供共享文件(例如windows用户admin共享文件夹share,windows的ip地址为192.168.168.150)1.挂载命令# smbclient //192.168.168.150/share –U admin2建立挂载点(首先建立挂载目录,例如/mnt/myshare)# mount.cifs //192.168.168.150/share /mnt/mystudy –o username=admin第8章DHCP服务器配置与管理 1.DHCP服务的基本概念DHCP(Dynamic Host Configuration Protocol)动态主机配置协议,是一个简化主机IP地址分配管理的TCP/IP标准协议。它能够动态地向网络中每台设备分配独一无二IP地址,并提供安全、可靠且简单的TCP/IP网络配置,确保不发生地址冲突,帮助维护IP地址的使用。2DHCP运行机制DHCP 协议的工作过程如下:①DHCP 服务器被动打开 UDP 端口 67,等待客户端发来的报文。②DHCP 客户从 UDP 端口 68发送 DHCP 发现报文。③凡收到 DHCP 发现报文的 DHCP 服务器都发出 DHCP 提供报文,因此 DHCP 客户可能收到多个 DHCP 提供报文。④DHCP 客户从几个 DHCP 服务器中选择其中的一个,并向所选择的 DHCP 服务器发送 DHCP 请求报文。⑤被选择的 DHCP 服务器发送确认报文DHCPACK,进入已绑定状态,并可开始使用得到的临时 IP 地址了。DHCP 客户现在要根据服务器提供的租用期 T 设置两个计时器 T1 和 T2,它们的超时时间分别是 0.5T 和 0.875T。当超时时间到就要请求更新租用期。⑥租用期过了一半(T1 时间到),DHCP 发送请求报文 DHCPREQUEST 要求更新租用期。⑦DHCP 服务器若同意,则发回确认报文DHCPACK。DHCP 客户得到了新的租用期,重新设置计时器。⑧DHCP 服务器若不同意,则发回否认报文DHCPNACK。这时 DHCP 客户必须立即停止使用原来的 IP 地址,而必须重新申请 IP 地址(回到步骤②)。若DHCP服务器不响应步骤⑥的请求报文DHCPREQUEST,则在租用期过了 87.5% 时,DHCP 客户必须重新发送请求报文 DHCPREQUEST(重复步骤⑥),然后又继续后面的步骤。 ⑨DHCP 客户可随时提前终止服务器所提供的租用期,这时只需向 DHCP 服务器发送释放报文 DHCPRELEASE 即可。使用DHCP方式动态分配IP地址时,整个网络必须至少包含一个DHCP服务器 ,而其它计算机则作为DHCP客户机。3 .DHCP 服务器中的几个重要概念作用域(scope):通过DHCP服务租用或指派给DHCP客户机的IP地址范围。一个范围可以包括一个单独子网中的所有IP地址(有时也将一个子网再划分成多个作用域)。此外,作用域还是DHCP服务器为客户机分配和配置IP地址及其相关参数所提供的基本方法。排除范围(exclusion range):DHCP作用域中,从DHCP服务中排除的小范围内的一个或多个IP地址。使用排除范围的作用在于保持这些作用域的地址永远不会被DHCP服务器提供给客户。地址池(address pool):DHCP作用域中可用的IP地址。租约期限(lease):DHCP客户使用动态分配的IP地址的时间 。在租用时间过期之前,客户必须续订租用,或用DHCP获取新的租用。租约期限是DHCP协议中最重要的概念之一,DHCP服务器并不给客户机分配永久的IP地址,而是只允许客户在某个指定的时间范围内(即租约期限内)使用某个IP地址。租约期限可以是几分钟、几个月,甚至是永久的(建议不要使用这样的租约期限),用户可以根据不同的情况使用不同的租约期限。保留(reservation):为特定DHCP客户租用而永久保留在一定范围内的特定 选项类型(option types):DHCP服务器在配置DHCP客户机时,可以进行配置的参数类型。常用的参数类型包括:子网掩码、默认网关及DNS服务器等。每个作用域可以具备不同的选项类型。第9章WWW服务器配置与管理目前常用的Web服务器IIS Apache Tomcat Jboss Resin Weblogic WebSphere 第十章DNS服务1.基本概念DNS:是域名系统(Domain Name System)的缩写,指在Internet中使用的分配名字和地址的机制。域名系统允许用户使用友好的名字而不是难以记忆的数字——IP地址来访问Internet上的主机。域名解析:就是将用户提出的名字变换成网络地址的方法和过程,从概念上讲,域名解析是一个自上而下的过程。正向解析:根据域名得到IP地址成为正向解析。反向解析:根据IP地址得到域名成为正向解析。2.DNS域名解析的工作原理(1)DNS客户机提出域名解析请求,并将该请求发送给本地的域名服务器。(2)当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该记录项,则本地的域名服务器就直接把查询的结果返回。(3)如果本地的缓存中没有该记录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。(4)本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该记录,则返回相关的下级的域名服务器的地址。(5)重复第四步,直到找到正确的记录。(6)本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。第十一章 FTP服务1.基本概念FTP(File Transfer Protocol)是文件传输协议,FTP就是用来在客户机和服务器之间实现文件传输的标准协议。FTP工作在TCP模型的应用层,使用的是TCP传输。2 FTP使用到的端口号:21端口——FTP命令通道 20端口——FTP数据传输3 FTP的工作模式:PORT——主动模式 PASV——被动模式5 FTP的用户:本机用户(local) 匿名登录用户( anonymous) 虚拟用户( guest )6 FTP工作模式的原理(了解)(1)PORT主动模式访问 当FTP客户以PORT模式连接服务器时,它动态地选择一个端口号(通常该端口号大于1024)连接服务器的21端口。当经过TCP的“三次握手”后,控制信道被建立。现在用户需要列出服务器上的目录结构(使用ls或dir命令),那么则需要建立一个数据通道,用于传输目录和文件列表,此时用户会发出PORT指令告诉服务器连接自己的什么端口来建立一个数据通道,当服务器接收到这一指令时,就会使用20端口连接用户在PORT指令中指定的端口号,用以发送目录的列表。在完成这一操作后,FTP客户可能需要下载一个文件,那么就会发送get指令,这时客户端会再次发送PORT指令,告诉服务器连接它的哪个新的端口。当这个新的数据传输通道建立后,就开始了文件传输工作。(2)PASV被动模式访问 当FTP客户以PASV模式连接服务器时,初始化连接的过程与PORT一样,不同的是,当FTP客户端发送ls、dir、get等要求返回数据的命令时,它向服务器发送PASV指令,在这个指令中,用户告诉服务器自己要连接服务器的某个端口,如果服务器上的这个端口是空闲的、可用的,那么服务器会返回ACK的确认信息,之后数据传输通道被建立并返回用户所需要的信息;如果服务器的这个端口被另一个资源所使用,那么服务器返回UNACK的信息,此时,FTP客户会再次发生PASV命令,这就是连接建立的协商过程。 6FTP的传输模式FTP的传输模式有两种:ASCII传输模式和二进制数据传输模式 (1)ASCII传输模式 假设用户正在复制到文件包含简单ASCII文本,如果在远程计算机上运行的是不同的操作系统,当文件传输时FTP通常会自动地调整文件的内容以便把文件解释成为另一台计算机存储文本文件的格式。(2)二进制传输模式 在二进制传输中,保存文件的位序,以便原始的数据和复制的数据是逐位一一对应的。即使目标机器上包含位序列的文件是没意义的。如果在ASCII模式下传输二进制文件,即使不需要也仍然会转译。这会使传输效率降低,也会损坏数据,可能使文件不可用。这就意味着,用户要知道传输的是什么类型的数据是非常重要的 第十二章Email服务1.邮件发送的过程用户编辑的E-mail被转换成一个标准的邮件格式,这个邮件格式中可以包含各种样式的文件,如:图像、声音、可执行程序等。邮件的内容以各种编码方式转换成ASCII码的形式,以便在网络上传输。邮件的接收人地址由“用户名+@+主机名”的方式改为“用户名+@+域名”。邮件服务器就是根据域名来选择邮件的传送路径的。然后用户会利用一个应用程序把邮件传送给邮件服务器并请求服务器把邮件发送到目的地址。这个程序被称为用户邮件代理(MUA)用户邮件代理(MUA)除了负责把用户的邮件进行编码、发送到邮件服务器之外,还负责从邮件服务器取得用户的邮件。也就是负责所有用户和邮件服务器之间的交互工作。接收MUA传送邮件的服务器并不一定就是这封邮件的最终地址,这就要求这个邮件服务器能够把用户传送的邮件发往邮件的目的地址。服务器会根据邮件接收人地址中的域名在网络上查询DNS服务器,选择最佳的路径进行传输。多台服务器接力传输,直到到达接收人所在的邮件服务器。我们把这种服务称为邮件传输代理(MTA),负责把用户的邮件向目的地址投递。目的地址域的邮件服务器接收到邮件后对邮件进行简单的判断,如发现邮件就是本服务器用户的邮件,则把邮件投递到用户的邮箱中。当用户访问服务器时,会发现有新邮件到达,MUA下载邮件,并通过相应的解码等处理工作最终将邮件展现在接收人的面前。这个投递邮件的服务器称为邮件投递代理(MDA),负责把邮件放入用户的邮箱。简单示例如图:2.邮件服务的各种协议和端口邮件传输协议SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)规定了如何在网络上的两台机器之间可靠、高效地传送邮件。这里的两台机器可能是客户端到邮件服务器,也可能是邮件服务器到邮件服务器。默认情况下,SMTP服务器会在25号端口监听。在接收到邮件后,首先会根据邮件的接收人地址判断是否是本域用户。如果不是本域用户就根据接收人的地址向DNS服务器查询,选择一个最优的网络路径,把邮件送往下一个SMTP服务器。直到到达目的服务器。 邮件格式协议现在人们可以通过邮件发送各种各样的信息:图片、多媒体、文档、应用程序等,而早期面向文本消息传送的邮件格式已经远远不能应付这些复杂的格式,因而新的邮件格式标准协议MIME(Multipurpose Internet Mail Extensions,多用途Internet邮件扩展)应运而生。它描述了如何安排消息格式以使消息在不同的邮件系统间进行交换。MIME的格式灵活,允许邮件中包含任意类型的文本。最新的MIME协议是一系列协议的综合,包括:邮件格式协议、媒体类型协议、非ASSCII码邮件头协议等邮件接收协议邮件在发送到最终的邮件服务器上之后,我们需要把它收取到自己的机器。目前有两种常用协议:POP(Post Office Protocol,邮局协议)和IMPA(Internet Message Access Protocol,网络消息访问协议)POP3协议:POP协议已经发展到第三个版本,所以POP协议通常被称为POP3 协议。POP3服务器监听110端口,接收到客户端连接请求后,首先进行用户身份确认,之后,用户可以查看自己邮箱的状态、邮件,并下载IMAP协议:IMAP协议除了具有POP3协议的功能外,还能够请求邮件服务器只下载选中的邮件而不是全部邮件,客户即可先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。通过IMAP协议,客户机的电子邮件程序可在服务器上创建并管理邮件文件或邮箱、删除邮件、查询某封信件的全部或一部分内容,完成所有这些工作时都不需要把邮件从服务器下载到个人计算机上。通常,IMAP服务器会监听143端口,它有四种状态:未认证状态、认证状态、选择状态、离线状态。3.POP3和IMAP协议都是邮件接收协议,它们之间的区别(见上)第十三章 网络操作系统安全1.windows在操作系统上的安全策略(系统层面)Windows 2000的系统安全策略(1)帐户安全管理将administrator用户改名,并设置较为复杂的密码禁用guest用户取消除管理员以外所有用户属性中的“远程控制启用远程控制”以及“终端服务配置文件 允许登陆到终端服务”禁用除管理员、IUSER以及ASPNET用户外,其他的一切用户。包括SQL DEBUG及TERMINAL USER等(2)端口限制入侵者要做的第一件事通常是扫描有漏洞的服务。其防范的措施是,将所需服务的端口打开,其他端口一律屏蔽。以一台标准虚拟主机服务器为例,需开通的端口包括:80——WEB服务器20——FTP数据传输21——FTP命令通道25——SMTP简单邮件发送端口53——DNS域名解析服务端口110——POP3邮件接收服务端口143——IMAP邮件接收服务端口需格外注意的端口:1433、3306——SQL SERVER和MYSQL数据库端口3389——Win 2000远程登录端口139、445——文件共享端口常见的木马和病毒程序端口:2000、2001——黑洞(木马)默认端口7306——网络精灵(木马)7626——冰河(木马)8000——OICQ Server、灰鸽子(病毒)12345、12346——netbus木马5022——华夏同盟远程控制(黑客第一门户)8181——上兴远控默认端口(3)设置访问控制权限对所有的盘符设置administrator组和system用户拥有全部权限,其他用户只读。C:\Program Files\Common Files及C:\WINNT目录对Everyone开放读取、运行、列出文件目录三个权限C:\WINNT\Temp目录对Everyone开放读取、运行、列出文件目录、写入权限修改CMD.EXE及NET.EXE权限(仅管理员拥有所有权限,其他用户不具备对该文件的访问权)WEB站点目录权限Administrator、system拥有全部权限IUSER(Internet来宾用户)拥有读取、写入、修改权限(4)关闭不必要的服务或组件Computer Browser:提供网络中的计算机列表Messenger:信使服务 Print Spooler:将文件加载到内存中以便打印 Remote Registry:远程管理本地系统 Telnet:允许远程用户登录到系统并且使用命令行运行控制台程序 TCP/IP NetBIOS Helper:NetBIOS 名称解析 (5)审核策略Windows 2000提供了一项安全审核功能,可以用日志的形式记录各种与安全相关的事件,可使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。 策略更改:安全策略更改,包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。登录事件:对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。对象访问:必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。过程追踪:详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。目录服务访问:记录对Active Directory的访问,这一类需要审核它的失败事件。特权使用:某一特权的使用;专用特权的指派,这一类需要审核它的失败事件。系统事件:与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件,这一类必须同时审核它的成功和失败事件。账户登录事件:验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。账户管理:创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。2.linux中数据包进入主机的流程图。3.linux主机能做的保护文件系统权限设置 防火墙设置 监听网络服务 软件更新 SELinux4.Linux系统安全防火墙设置列出防火墙过滤表中的规则 # iptables –L -n清除本机防火墙过滤的所有规则# iptables –F 清除所有已定规则# iptables -X 清除所有用户“自定义”chain# iptables –Z 将所有chain的计数与流量归零数据包的比对设置# iptables [-AI 链] [-io 网络接口] [-p 协议] [-s 来源IP/网段] [--sport 端口范围] [-d 目标IP/网段] [--dport端口范围] –j [ACCEPT | DROP | LOG] -A:新增一条规则,该规则加在原规则的最后面-I:插入一条规则,并成为第一条规则-i:数据包进入这个网络接口,需与INPUT配合-o:数据包传出这个网络接口,需与OUTPUT配合-p 协议:设置此规则适用与那种数据包协议,包括:tcp、udp、icmp、all-s 来源IP/网段:设置此规则的数据包来源地--sport 端口范围:限制来源的端口号码-d 目标IP/网段:目的地IP或网段--dport 端口范围:限制目的地的端口号码-j:后面接操作,主要的操作有:ACCEPT、DROP、LOG所有来自192.168.0.1这个IP的数据包都接受# iptables –A INPUT –i eth0 –s 192.168.0.1 –j ACCEPT想要联机进入本机21端口的数据包都被阻止# iptables –A INPUT –i eth0 –p tcp –dport 21 –j DROP 将来自任何来源1:1023端口的主动联机到本机1:1023端口的数据包丢弃# iptable –A INPUT -i eth0 –p tcp –sport 1:1023 –dport 1:1023 –syn –j DROP针对局域网内aa:bb:cc:dd:ee:ff主机开放其联机# iptable –A INPUT -m mac –mac-source aa:bb:cc:dd:ee:ff –j ACCEPT保存防火墙的设置 # iptables –save >/etc/sysconfig/iptables 监听网络服务——Netstat命令列出在监听的网络服务: # netstat -tunl 列出已连接的网络联机状态:# netstat -tun删除已建立或在监听中的连接,先找出该联机的PID,然后将它删除# netstat –tunp# kill -9 PID 5.关于RedHat SELinuxSELinux可以最大限度地保证Linux系统的安全,它将Linux系统的安全从C2级提升到B1级。SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。目标策略仅针对部分系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。SELinux的配置文件是/etc/selinux/config 可用getenforce和setenforce命令查看和设置SELinux的当前工作模式其两种模式为:Enforcing | Permissive ( 1 | 0 ) 一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规则时发出警告,然后修改规则,最后由用户决定是否执行严格“enforcing”的策略,禁止违反规则策略的行为。修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。 命令sestatus可查询SELinux的状态,如:是否激活、selinuxfs的挂接状态、当前的策略模式和版本等。命令sestatus执行结果列出如下 案例:在Apache服务器中配置站点,不使用系统默认的 /var/www/html作为站点的Document Root,自己新建一个目录(/myweb/zjz)后修改/etc/httpd/conf/httpd.conf 中的配置,重启Apache,出现报错: Document root must be a directory 或站点无法访问。原因:Apache的进程没有权限,无法访问/myweb/zjz 目录。针对Apache的进程所使用的SELinux target policy规定了Apache的进程只能访问httpd_sys_content_t类型的目录或文件。 解决: 将目录或文件的策略类型改成 httpd_sys_content_t# chcon -t httpd_sys_content_t /mywebls -laZ查看文件目录的策略类型: 附录1:用户和组的管理Linux用户帐号管理1.管理普通帐号新建用户:useradd [选项]-e date 禁用帐号的日期,格式为:YYYY-MM-DD-d home-dir 用来替代默认的/home/username主目录-g group-name 用户默认组群的组群名或组群号码(该组群在指定前必须存在)-p password 加密的口令-u uid 用户的UID,它必须是唯一的,且大于499例:新增用户test,UID为550,把test用户加入到users用户组,用户目录为/home/test,帐号的期限是2007年12月1日,用户密码为mypassword# useradd –u 550 –g users –d /home/test –e 12/01/06 –p mypassword test新建用户后,在/etc/passwd文件中就会增加一行该用户的信息,格式如下:用户名:密码:UID:GID:注释性描述:主目录:登录Shell# cat /etc/passwd修改用户帐号 Usermod [选项] 用户名例:将用户test的主目录改为/home/temp,用户组改为developer# usermod –g developer –d /home/temp test设置用户口令 # passwd test删除用户 userdel [选项] username-r 将用户目录下的文档一并删除,同时该用户放在其他地方的文档也将一一被找到并删除# userdel –r test2.管理用户组用户组的管理涉及用户组的添加、删除和修改。实际上就是对/etc/group文件的更新。# cat /etc/group显示形式:用户组名:加密后的组口令:组ID:组成员列表新建用户组 # groupadd mytest修改用户组例:将组group2的标识号改为10000,组名改为group3# groupmod –g 10000 –n group3 group2删除用户组 #groupdel mytestLinux文件及目录权限设置Linux中,每个文件或目录都包含有访问权限,这些权限决定了谁能访问和如何访问这些文件和目录。通过设定权限可从以下三种方式限制访问权限:只允许用户自己访问允许一个预先制定的用户组中的用户访问允许系统中的任何用户访问用户能够控制一个给定的文件或目录的访问程度,一个文件或目录可能有读、写及执行权限。当创建一个文件时,系统会自动赋予文件所有者读写的权限,文件所有者可以将这些权限改变为任何他想指定的权限。1.用户分类3种不同的用户类型能够访问一个文件或目录:文件和目录的所有者文件和目录所有者所在的用户组其他用户所有者就是创建文件的用户,用户可以允许所在的用户组能访问他的文件。2.访问权限分类执行ls命令回显结果中,第一个字符用来区分文件和目录。d:表示是一个目录-:表示是一个普通的文件l:表示是一个符号链接文件,实际上它指向另一个文件b、c:分别表示区块设备和其他的外围设备,是特殊类型的文件第2~10个字符表示文件的访问权限,其中,3个字符为一组,左边3个字符表示所有者权限,中间3个字符表示与所有者同一组的用户的权限,右边3个字符是其他用户的权限。r(Read,读取):对文件而言,具有读文件内容的权限;对目录来说,具有浏览该目录信息的权限w(Write,写入):对文件而言,具有新增、修改文件内容的权限;对目录来说,具有删除、移动目录内文件的权限。x(Execute,执行):对文件而言,有执行文件的权限;对目录来说,具有进入目录的权限。-:表示不具有该项权限。3.chmod命令更改权限(1)权限代号修改如:# chmod u+rw-x,g-x,o=r test.sample(2)数字权限修改数字权限修改方式设定的关键时MODE的取值,用二进制数表示rwx,如果有则用1表示,没有则用0表示,那么rwx r-x r--可表示为:111 101 100,将每三位转换成为十进制数,即为754例如,我们要设置test.sample文件的权限如下:权限文件或目录拥有者同组用户其他用户读权限是是是写权限是是执行权限否否否根据上表得到权限串为:rw- rw- r--,转换成二进制为:110 110 100。再将其转换为十进制数,得到664,因此我们执行命令:# chmod 664 test.sample可用ls -l命令查看执行后的结果4.chown命令改变目录或文件的所有权不仅可以改变文件与目录的权限,其所有权及所属用户组也可以修改。通过ls -l命令,可以看到test.sample文件的所属用户为root,所属用户组为root,执行以下命令,可把test.sample文件的所有权转移到用户zjz#chown zjz test.sample另外,可以改变文件的所属组:chown :groupname filename如,将test.sample文件的所属组改为user组:#chown :user test.sample用chown命令修改目录所有者时,如果想一次修改某个目录下所有文件的所有者,包括其子目录的文件所有者,可使用参数-R,表示递归处理如:# chown –R zjz zjzfile # chown –R :user zjzfile附录2:实验1.Samba服务在Linux中访问Windows系统提供共享文件主要命令见资料挂载后可以用get命令下载文件5、登录smb6、用ls显示共享文件7、用get命令可从服务器上下载某文件8、使用mount.cifs 命令,挂在Windows的共享文件夹或驱动器在Windows中访问Linux系统提供共享文件注意:关闭防火墙和SELinux,SELinux重启后生效1)修改samba配置文件 # vi /etc/samba/smb.conf全局参数的设置[global]Workgroup=workgroup //工作组名,工作组名称和Windows一致共享目录配置,添加我的分享[myshare]Comment=myshare //共享的注释说明path = /mysharewriteable = yesbrowseable = yes //在浏览资源中显示共享目录guest ok = no //不允许匿名访问2)新建用户和共享文件夹3)启动samba服务,重新载入配置文件 #service smb reload4)在Windows里面连接Linux共享 例如:在,命令控制符中输入\\192.168.168.251\myshare 格式是:\\linux的ip\共享文件名称1、关闭SELinux2、配置Samba,修改和注释,禁用SELinux设置,改完Selinux需要重启Linux3、共享目录配置4、创建文件5、设置777为可读可写权限,还有添加用户smbl6、添加chxj使用者7、配置Samba可通过修改smb.conf配置文件完成:# vi /etc/samba/smb.conf8、配置成功后打开开始中的运行,进行查看结果2.NFS服务注意:关闭防火墙对服务端进行配置:1)启动NFS # service portmap start# service nfs start2)建立文件夹和用户,并进行授权3)配置NFS 编辑/etc/exports,在文件中列出,要共享的目录。书写规则是:(每个共享规则一行) 共享目录 主机(参数) 例如: /mnt/disk1 192.168.70.51(ro,sync, no_root_squash)上面的规则代表将/mnt/disk1目录以读写同步方式共享给主机192.168.70.51。如果登陆到NFS主机的用户是root,那么该用户就具有NFS主机的root用户的权限。下面是一些NFS共享的常用参数: rw:可读写的权限;ro:只读的权限;no_root_squash: 登入到NFS主机的用户如果是ROOT用户,他就拥有ROOT的权限root_squash:在登入 NFS 主机使用目录的使用者如果是 root 时,那么这个使用者的权限将被压缩成为匿名使用者,通常他的 UID 与 GID 都会变成 nobody 那个身份;all_squash:不管登陆NFS主机的用户是什么都会被重新设定为nobody。anonuid:将登入NFS主机的用户都设定成指定的user id,此ID必须存在于etc/passwd中。anongid:同 anonuid ,但是变成 group ID 就是了!sync:资料同步写入存储器中。async:资料会先暂时存放在内存中,不会直接写入硬盘。Insecure: 允许从这台机器过来的非授权访问。4)exportfs命令: 如果我们在启动了NFS之后又修改了/etc/exports,用exportfs命令来使改动立刻生效,该命令格式如下: exportfs [-aruv]参数的意义如下: -a :全部mount或者unmount /etc/exports中的内容 -r :重新mount /etc/exports中分享出来的目录 -u :umount 目录 -v :在 export 的时候,将详细的信息输出到屏幕上。具体例子: # exportfs –rv //全部重新 export 一次!对服务端进行配置:1)启动NFS # service portmap start# service nfs start2)显示建立挂载点#showmount -e 192.168.168.150 //ip是服务器的ip#mount -t nfs 192.168.168.150:/host /mnt/client //建立nfs挂载点,分别是服务器端的共享和客户端的挂载点1、配置好IP地址,用Putty登录Linux,如图:2、启动NFS服务,如图:3、编写配置文件,如图:4、重启nfs服务,如图:5、设置相应的用户和用户组,如图:6、创建共享文件目录,如图:7、为相应目录授予权限,如图:服务器配置完成。客服机上配置相应的用户即可。并用mount -t nfs 命令挂载相应的共享目录。3.DHCP服务(DHCP实验要求能读懂linux中的服务配置文件,注释填空)Dhcpd.conf文件的内容Part Iserver-identifier 192.168.1.199; //识别DHCP服务器default-lease-time 10800; //定义整体租约IP期限max-lease-time 86400; //定义整体租约IP的最大期限option domain-name-servers 202.100.192.68 //定义整体租约IP的DNS服务器地址option routers 192.168.1.1 //定义整体租约IP的网关option subnet-mask 255.255.255.0 //定义整体租约IP的子网掩码Part I属于整体声明,除了DHCP服务器名和两项租约期限外,其余命令前都需加上“option”,称其为“选项”,配置的是DHCP的可选项。Part IIsubnet 192.168.1.0 netmask 255.255.255.0{ range 192.168.1.50 192.168.1.100}Part II 属于个别IP地址范围设置,以命令“subnet IP网域netmask掩码”做为声明如果要租出去两段IP地址范围,可声明如下:subnet 192.168.1.0 netmask 255.255.255.0{ range 192.168.1.50 192.168.1.100 range 192.168.1.150 192.168.1.200}如果要声明个别IP地址范围的参数项目,可先删除整体声明,再声明如下:server-identifier 192.168.1.199;subnet 192.168.1.0 netmask 255.255.255.0{ range 192.168.1.50 192.168.1.100 default-lease-time 10800; option domain-name-servers 202.100.192.68}分配固定IP 假设目前需将IP地址192.168.1.200分配给主机名为asp,网卡硬件地址为00:00:e8:11:ef:4e,可作声明如下:default-lease-time 10800;max-lease-time 86400;option domain-name-servers 202.100.192.68option routers 192.168.1.1option subnet-mask 255.255.255.0host asp{ hardware ethernet 00:00:e8:11:ef:4e; fixed-address 192.168.1.200}DHCP服务器的启动和观察1.启动:# /etc/init.d/dhcpd start2.查看端口启动情况:# netstat –tlunp3.查看日志文件的输出信息# tail –n 30 /var/log/messagesLinux客户端设置# vi /etc/sysconfig/network-scripts/ifcfg-eth0一、Windows server 2003中配置DHCP:1、打开DHCP,如图:2、配置作用域中IP的范围,如图:3、设置作用域中IP的排除范围,如图:4、配置租约期限,如图:5、配置路由网关,如图:6、配置DNS服务器地址,如图:7、新建保留,如图:二、Linux中配置DHCP:1、打开putty,如图:2、确认Linux中是否安装了DHCP服务器,如图:3、创建dhcpd.conf与dhcpd.leases文件,如图:4、编辑配置文件,如图:保存退出配置完成考(11,12,13综合次实验)4.web服务1)创建站点目录#mkdir /var/www/test.cn2)站点目录的权限#chmod 775 /var/www/test.cn3)写配置文件,配置虚拟主机#vi /etc/httpd/conf/httpd.confServerName www.zjz.cn (主机名,默认值是localhost)
ServerAlias web.zjz.cn (主机别名)
DocumentRoot /var/www/zjz.cn (文档的根目录)
DirectoryIndex index.html index.htm index.php (设置多种成功访问主页的方式)
ErrorLog /var/log/httpd/zjz.cn/error.log (设置虚拟主机的错误日志)
CustomLog /var/log/httpd/zjz.cn/Custom.log combined(设置虚拟主机的访问日志)4)启动服务#service httpd startApache全局配置(1)超时时间设置 Timeout 100表示设定超时时间。如果客户端超过100s还没有连接上Server,或者Server超过100s还没有传送信息给客户端,则强制断线。(2)客户端同时提出多个请求的设置 KeepAlive On表示允许客户端提出多个请求,设置为Off表示不允许(3)每次联机允许的最大请求数目 MaxKeepAliveRequsets 50表示每次联机允许的最大请求数目,数字越大,效率越高。0表示不限制。(4)限制客户端的同时最大连接数目MaxClients 200表示限制客户端的同时最大连接数目为200。一旦达到此数目,客户端就会得到用户太多,拒绝访问的错误提示。该数目不应设置得太小。(5)限制每个Httpd进程可以完成的最大任务数 MaxRequestsPerChild 4000表示限制每个httpd进程可以完成的最大任务数。(6)设置Apache服务的监听端口Listen 192.168.168.251:80Listen 80设置Apache服务的监听端口,一般在不使用80端口是设置。(7)设置Apache工作时使用的用户和组User apacheGroup apache5.DNS服务1)复制named.caching-nameserver.conf文件,并重命名为named.conf文件,修改named.conf文件(定义整个DNS服务器的相关环境,包括查询文件放置目录等)配置#vi /etc/named.conf Options{listen-on port 53 {192.168.168.251:}; //监听端口地址改为本机的ip地址Listen-on-v6 port 53{::1:};directory “/var/named”;dump-file “/var/named/data/cache_dump.db”;statistics-file “/var/named/data/named_stats.txt”;allow-query{any;}; //是否允许被查询,默认允许allow-transfer{none;}; //是否允许传送zone,默认不可(实验中注释掉以上两条)};2)修改named.rfc1912.zones文件配置设置Domain Name以及Zone File的所在设置DNS本机管理接口以及相关的Key File# vi /etc/named.rfc1912.zoneszone “zjz.net” IN{type master;file “named.zjz.cn”;};3)复制localhost.zone文件,重命名为named.zjz.cn,并对其进行配置#vi /var/named/chroot/var/named/named.zjz.cnzjz.cn域的正解配置文件:named.zjz.cn$TTL 600 @ IN SOA zjz.cn. root.zjz.cn (2006102001 ; serial :仅作为序号28800 ; refresh :/服务器更新时间14400 ; retry :当slave主机更新失败,多久再重新更新一次720000 ; expire :重复retry多久后宣告失败,不再更新86400) ; minimum :可视为TTL;本领域的DNS服务器主机名与IP的对应@ IN NS zjz.cn. //特别留意后面的小数点 www IN A 192.168.168.251blog IN CNAME www4)修改resolv.conf配置#vi /etc/resolv.confnameServer 192.168.168.2515)关闭防火墙。启动named服务。查看域名解析结果。# service named start 6.ftp服务1)创建新用户,并且将站点目录设置为用户ftp服务的根目录#useradd -d /var/ftp/myftp -p 123456 myftp#chmod 775 /var/ftp/myftp2)对vsftpd.conf文件进行配置#vi /etc/vsftpd/vsftpd.confuserlist_enable= YES//此选项激活后,vsftpd将读取userlist_file参数所指定的文件中的用户列表。userlist_deny= |NOuserlist_file=/etc/vsftpd.user_listchroot_list_enable= YES//锁定某些用户在自己的目录中,而不可以转到系统的其他目录。chroot_list_file=/etc/vsftpd/chroot_list//指定被锁定在主目录的用户的列表文件。chroot_local_users= YES //写了上面两条目录访问控制代码就不用写这条了listen=YESlisten_addresss=192.169.168.125 //本地iplisten_port=21max_client=1000 //定义FTP服务器最大的并发连接数max_per_ip=10 //定义每个IP地址最大的并发连接数目local_max_rate=3000 //设定用户的最大数据传输速度3)新建一个vsftpd.user_list文件,并在里面添加myftp用户#vi /etc/vsftpd/chroot_listmyftp4)新建一个chroot_list文件,并在文件里添加用户名myftp#vi /etc/vsftpd/chroot_listmyftp5)启动vsftpd服务#service vsftpd start 或者 /etc/init.d/vsftpd start6)输入ftp IP进行测试,修改myftp用户的密码再进行测试#ftp 192.168.168.125综合实验第9章Apache服务器第10章Bind服务器第11章vsFTP服务器案例描述:某公司为互联网应用服务提供商,主要为客户提供域名和虚拟主机服务,现有一客户需为企业网站购买域名和虚拟主机,作为管理员,请根据客户需求提供服务:一、域名服务购买域名:zjz.cn要求可通过www.zjz.cn和zjz.cn两种方式访问Web站点,可通过ftp.zjz.cn登陆FTP二、虚拟主机独立网页空间300M独立日志空间150M最大连接数限制3,000最大上传速度限制为300KB/S,最大下载速度限制为250KB/S不允许多线程登录有效期2年第八章在Apache中创建两个站点,要求能够通过域名方式访问查看系统是否安装了DNS服务,用如下命令安装RPM安装包:2、将/etc/named.caching-nameserver.conf复制到当前目录下并重命名为named.conf,然后编辑:3、规范zjz.cn域:4、正解数据库文件配置:将/var/named/chroot/var/named/localhost.zone复制重命名为named.zjz.cn,然后编辑:5、客户端设置:6、DNS的启动(或重启)并关闭防火墙:7、用#nslookup 指令查询域名解析的有效性:第九章在Bind中创建域,并对应Apache中的站点访问方式,分别创建主机和别名1、启动Apache服务器:2、HTTP服务器的配置文件虚拟主机配置:基于名称的虚拟主机由于基于主机名的虚拟主机使用相同的IP地址和端口,此时必须使用NameVirtualHost命令来指定一个IP地址:3、创建站点目录: /var/www/zjz.cn/wwwroot/index.html /var/www/zjz.cn/logfile/error.log /var/www/zjz.cn/logfile/custom.log5、设置站点目录的访问权限:6、测试:在Linux环境下实现通过域名访问站点第十章虚拟FTP服务器配置在安装vsFTP前,需用RPM命令查看系统是否安装了vsFTPd,使用#rpm -ivh vsftpd.rpm安装包:创建ftp服务器目录:3、vsftpd的配置:4、编辑文件vsftpd.user_list,指出userlist_enable选项生效后,被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list5、编辑文件chroot_list,指定被锁定在主目录的用户:6、vsftpd的启动:7、在linux中登录ftp进行测试:关闭防火墙和SELinux(注意:改完Selinux需要重启Linux):Vsftpd的重启:1、独立网页空间300M2、独立日志空间150M3、最大连接数限制3,0004、最大上传速度限制为300KB/S5、最大下载速度限制为250KB/S6、不允许多线程登录,所以只允许一个线程登录。7、有效期2年10、在FileZilla软件中进行测试:文件的上传:补充部分切换用户:#su 用户名更改密码:#passwd 用户名服务的基本指令:查看服务运行状态:# service xxxx status启动服务:# service xxxx start停止服务:# service xxxx stop重启服务:# service xxxx restart查看系统是否安装了某服务:# rpm –qa|grep xxxx如果系统尚未安装这项服务,可以用如下命令安装:# rpm –ivh /rpm文件的所在目录/rpm文件的名称总结linux下各种服务的配置文件所在的位置Samba /etc/samba/smb.confNFS /etc/exportsDHCP /etc/dhcpd.conf DHCP服务器的配置文件 /var/lib/dhcp/dhcpd.leases 用来存储客户租期数据库http /etc/httpd/conf/httpd.confDNS /etc/named.conf 整个DNS服务器的相关环境 /etc/named.rfc1912.zones 设置DNS本机管理接口以及相关的Key File /var/named/chroot/var/named/named.域名 /etc/resolv.conf 服务器ipftp /etc/vsftpd/vsftpd.conf