标签:
dns服务 1.服务名 守护进程名 at atd cron crond 2.基于daemon可以分为两类 1) stand alone daemon 独立启动服务 2) super daemon 超级服务 3. stand alone daemon 1) 什么是独立启动的服务: 不借助计算机其它资源,独立启动的服务 2) 特征: 1.状态控制脚本存放的位置/etc/init.d目录下, el6:可以使用sevice atd restart 命令去变更服务的状态 /etc/init.d/atd restart 去变更服务的状态 el7:systemctl restart atd 变更服务状态的方法 -->可以通过man systemctl查看相应的一些帮助. 2.程序的初始化配置文件:/etc/sysconfig/ 3.数据文件 /var 4.日志 /var/log,也可以根据程序自身的设定而变更位置. 5.主配置文件 /etc 以.conf结尾,或者.cf结尾 6. el6: 进程文件 /var/run 以pid结尾. el7: 进程 /run 以pid结尾 7.永久占用系统资源,优势在于能够及时响应客户请求. 8.会有监听端口号,用来区别客户端访问的不同服务. 1-1023是知名端口号 1024-65535 随机端口号 查看端口号的方法: netstat -ntlup n:不做解析 t:tcp l:监听的端口号 u:udp p:协议 4.super daemon --> xinetd服务 用来唤醒其它服务的程序 ====================================================== DNS 1.作用:用来解析主机名和IP地址 和/etc/hosts文件类似 2.实现机制:分层式结构 . 根域 com cn org edu 二级域 baidu sina 子域 www 主机 全球共有13台根域 3.fqdn 完全合格的域名=主机名+域名 www.baidu.com. 4.查找顺序 优先读取本地的/etc/hosts文件,再去读取dns 由/etc/nsswitch.conf定义先后顺序 DNS的查询方式 1) 递归查询 A -->B -->C A <--B <--C 2) 迭代查询 A -->B A C<--B A -->C A <--C0 5./etc/resolv.conf DNS服务器指向文件,找谁来帮我做解析. nameserver 172.25.254.250 ============================================== DNS服务的软件 1.bind DNS服务器的主程序. 2.bind-chroot 出于安全性考虑,用来挂机目录和配置文件的辅助程序 =============================================== 配置文件 1.主配置文件 /etc/named.conf 2.zone的定义文件/etc/named.rfc1912.zones 3.数据文件 /var/named目录下,由zone的定义文件file字段决定文件名称 =============================================== 实验 1.主配置文件 vim /etc/named.conf listen-on port 53 { any; }; allow-query { any; }; 2.定义域 vim /etc/named.rfc1912.zones zone "abc.com" IN { type master; file "abc.com.zone"; allow-update { none; }; }; 3.生成数据文件 cd /var/named cp -p named.localhost abc.com.zone vim abc.com.zone NS @ --> @代表继承域名 A 172.25.0.11 --> 这两行代表我的域名是abc.com,对应ip172.25.0.11 www A 172.25.0.254 --> www.abc.com是172.25.0.254主机 MX 5 mail mail A 172.25.0.253 --> mail服务器必须要指定MX优先级 .mail服务器是172.25.0.253 ftp CNAME bbs --> CNAME代表别名,ftp又叫做bbs bbs A 172.25.0.252 --> bbs是172.25.0.252 4.启动服务. service named restart 5. vim /etc/resolv.conf 指定谁来做解析 nameserver 172.25.0.11 6. 检测 nslookup 如果发现在service named restart的时候rndc.key这里启不来 rndc-confgen -a -r /etc/named.conf 反解 1.主配置文件 2.定义域 vim /etc/named.rfc1912.conf zone "0.168.192.in-addr.arpa" IN { type master; file "test.arpa"; allow-update { none; }; }; 3.生成数据文件 cd /var/named cp -p named.localhost test.arpa NS test.com. 254 PTR test.com. 253 PTR www.test.com. 252 PTR mail.test.com. 251 PTR ftp.test.com. 4.重启服务 5.vim /etc/resolv.conf 指定谁来做解析 nameserver 172.25.0.11 6.nslookup ================================= DNS主辅同步 1.作用: 1)安全性 2)负载均衡 2.实验 master机器上的配置 1) 变更zone 定义 allow-transfer { 172.25.0.10; }; 允许谁来和我做同步 2) 变更数据文件 $TTL 1D --> 缓存周期1D代表一天 @ IN SOA @ 用户名.域名#这个不改也没关系 ( --> SOA 起始授权记录 20160106 ; serial -->序列号,比对工具 1D ; refresh -->多久做一次同步 1H ; retry -->同步失败后,多久重试 1W ; expire -->同步失败后,多久失效 3H ) ; minimum -->最小缓存时间 slave机器上的配置: 1) 装包 2) 主配置文件修改 listen-on port 53 { any; }; allow-query { any; }; 3) 定义域 zone "test.com" IN { type slave; masters { 172.25.0.11; }; file "slaves/test.com.zone"; allow-update { none; }; }; zone "0.168.192.in-addr.arpa" IN { type slave; masters { 172.25.0.11; }; file "slaves/test.arpa"; allow-update { none; }; }; 关防火墙的命令 service iptables stop systemctl stop firewalld 排错思路 1.重启服务看报错 2.看日志 1)/var/log/messages -->tail -f messages 去重启服务,看重启服务过程当中出了什么问题 2) /var/named/data/named.run 程序的日志. 3.权限 1) 程序权限 2) ugo权限 3) selinux权限 -->通过分析selinux的日志来获取相应的信息.使用sealert工具分析 setsebool -P named_write_master_zones 1
ntp 1.作用:同步时间. 2.原理:分层式结构. 3.软件:el6:ntp el7:chrony 4.el6主配置文件 /etc/ntp.conf restrict 172.25.0.0 mask 255.255.255.0 -->允许谁来和我做同步 server 172.25.0.10 -->我要找谁做同步 特殊的表达方式 127.127.1.0 代表的是本地系统时间. 和本地时间同步,指定层数的方式: server 127.127.1.0 fudge 127.127.1.0 stratum 10 在客户端上,使用ntpdate -u 172.25.0.11来同步时间 当我们重启ntp服务后,需要等5-10分钟才能够被同步成功. 5. el7 主配置文件 /etc/chrony.conf allow 172.25.0/24 --> 允许谁来和我做同步 server -->和谁做同步 和本地时间做同步,指定层数的方式 server 172.25.0.10 local stratum 10 在客户端上,使用ntpdate -u 172.25.0.10来和服务端做同步 6.启服务 el6 service ntpd restart el7 systemctl restart chronyd.service
ftp 1.作用:共享文件 2.软件 vsftpd 3.工作原理: 主动模式: 服务端21号端口处理链接请求,通过20号端口向客户端传输数据. 被动模式: 服务端通过21端口处理链接请求,随后开启一个随即端口号通知客户端从该端口号获取数据. 4.vsftpd支持的用户类型:匿名用户和本地用户 匿名用户:在ftp服务器中没有指定账户,但是能访问ftp服务器相应资源的用户. 本地用户:/etc/passwd用户 5.vsftpd结构 1) 主配置文件/etc/vsftpd/vsftpd.conf 2) 数据文件 /var/ftp/pub 目录 6.访问方式 1) 匿名访问 [1] 浏览器ftp://172.25.0.11/pub/ lftp工具 -->对应的软件名:lftp [2] lftp ip地址 [root@rhel7 ~]# lftp 172.25.0.11 lftp 172.25.0.11:~> ls drwxr-xr-x 2 0 0 4096 Jan 06 06:43 pub lftp 172.25.0.11:/> cd pub/ lftp 172.25.0.11:/pub> ls -rw-r--r-- 1 0 0 0 Jan 06 06:43 file1 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file10 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file2 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file3 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file4 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file5 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file6 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file7 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file8 -rw-r--r-- 1 0 0 0 Jan 06 06:43 file9 lftp 172.25.0.11:/pub> exit 2) 本地用户访问 lftp工具: 对于本地用户来说,它的共享目录是他的家目录. lftp testuser@172.25.0.11 [root@rhel7 ~]# lftp testuser@172.25.0.11 Password: lftp testuser@172.25.0.11:~> ls ls: Login failed: 500 OOPS: cannot change directory:/home/testuser lftp testuser@172.25.0.11:~> 读取不到家目录下文件的原因是selinux造成的 需要打开setsebool -P ftp_home_dir 1 7.下载 lftp登陆以后,使用get去下载 lftp 172.25.0.11:/pub> get file1 下载的位置是在你当前位置. 8.上传 本地用户的上传: lftp 登陆以后,使用put去上传 lftp testuser@172.25.0.11:~> put testuserfile 可以通过绝对路径上传我们当前位置所在目录下的文件 匿名用户的上传: 1) 程序限制 vim /etc/vsftpd/vsftpd.conf 打开anon_upload_enable=YES 2) UGO 给ftp用户进入目录所用的rwx权限. 3) selinux权限 semanage fcontext -a -t public_content_rw_t pub -->注意路径 /var/ftp/pub restorecon -R -v pub -->针对的是 /var/ftp/pub setsebool -P allow_ftpd_anon_write 1 9.黑白名单 黑名单:/etc/vsftpd/ftpusers 在主配置文件里面有一行参数:userlist_enable=YES 如果参数是YES,则代表/etc/vsftpd/user_list是黑名单. 如果参数是NO,则代表/etc/vsftpd/user_list是白名单. 如果没有该行配置,默认参数是NO. man 5 vsftpd.conf
零基础学习云计算及大数据DBA集群架构师【Linux系统\网络服务及安全配置2015年1月4日周一】
标签:
原文地址:http://www.cnblogs.com/bluesunspot/p/5204980.html