别名:
abc IN CNAME .
泛域名:
* IN A 192.168.0.50
DHCP:Dynamic Host Configuration Protocol
DHCP的负载均衡:就是做两台DHCP服务器,但是分配的地址不能冲突。
DHCP1:192.168.0.1~192.168.0.100
DHCP2:192.168.0.101~192.168.0.200
bootps 67/tcp #boot server
pootpc 68/tcp #boot client
1、client向网络中发送一个全网广播。DHCPDISCOVER发现包
2、如果DHCP,就给客户机一个回应。
3、如果服务机上有记录。直接给它发送原来的记录。
4、如果有两台DHCP服务,谁先响应,就给回应
5、服务器向客户机发送DHCPOFFER,响应,告诉客户机一些服务器的信息。然后告诉客户端。
6、客户机向服务器发送请求包,DHCPREQUEST
7、服务器再向客户机发送确认包DHCPPACK。
PXE:
=================================================
linux下用tftp下载方法:
tftp my-tftpd-server -c get /pxelinux.cfg/default
注:在*.msg中的配置文件的设置背景色中的^O符号是在输入模式下用ctrl+v和ctrl+o调出来的。
先安装tftp-server
1\yum -y install tftp-server;service xinetd restart;chkconfig tftp on
2\把pxelinux.0、initrd.img、pxelinux.cfg、vminuxz放到/tftpboot:这几个是最基本的配置。有了这几个文件就能引导了。
pxelinux.0是一个引导文件,和操作系统无关,任何系统都可以使用这个文件。
3\cp /usr/lib/syslinux/pxelinux.0 /tftpboot/
4\mount /dev/cdrom /mnt
5\cp /mnt/images/pxeboot/{initrd,img,vmlinuz} /tftpboot/
6\gethostip -x 192.168.0.15 这个是用来创建配置文件,用来加载引引程序时,系统读取的选项。和default是一个道理,只不过用这个算出来的是用来指定计算机的。
7\default文件就是isolinux.cfg里面的文件。只要把它拷进去,改一下名字就行了。
8\配置DHCP服务器。参考下面的配置。
注:windows下用tftp下载方法:
tftp -i 192.168.0.15 get /pxelinux.cfg/default
gethostip 192.168.0.15 计算十六进制值。
DHCP:
====================
vim /etc/dhcpd.conf
==================================================================
?? ddns-update-style none; 不允许动态DNS更新,和DNS一起才有作用,
allow-query:是否允许客户端将名机名和IP地址写入到DNS服务中去
如果要实现这个功能,这里就要改成interim
filename "pxelinux.0"; //网络引导一定要加这一条。
next-server 192.168.0.15 //指定tftp服务器的ip 用来做网络引导用的。
subnet 192.168.0.0 netmask 255.255.255.0 { //通告子网
option routers 192.168.0.254; //网关
option subnet-mask 255.255.255.0; //获取的IP地址的子网掩码
option nis-domain "domain.org"; //在/etc/sysconfig/network 里面的文件 nis的域名
option domain-named "domain.org: //在/etc/resolv.conf 中的search 后面的
option domain-name-servers 192.168.0.254; //DNS服务器
option time-offset -18000
option ntp-servers 192.168.1.1; //加入到ntp的server 192.168.1.1
option netbios-name-servers 192.168.1.1; samba中有作用
range dynamic-bootp 192.168.0.128 192.168.0.254; //可以和原来老的网卡兼容。
??default-lease-time 21600; 21600释放一次。如果用户还在使用,继续给你用。
释放一次重新获取要20秒。获得的还是原来的IP。
max-lease-time 43200; 43200一定会释放。
next-server marvin.redhat.com; tftp 的服务名。
service dhchrelay restart 做中继用的
全局配置文件可以放到子配置文件中。
host ns { //只有在DDNS动态更新的时候才有意义,不然只是一个标识,没有意义。
next-server
hardware ethernet
fixed-address
分配静态IP地址。不可以和动态的冲突
service dhcpd configtest 从四开始已经没有作用了。
dhcp类:
class "virtual" {
match if substring (hardware, 1, 3) = 00:16:3e; //匹配MAC地址前16位。
}
dhcp池:
pool {
allow members of "virtual"; //如果匹配virtual这个类,
range 192.168.0.61 192.168.0.100; //使用这一段IP
}
pool {
deny members of "virtual"; //如果不匹配virtual这个类,
range 192.168.0.1 192.168.0.40; //使用这段IP
}
==============================================
Network File Sharing Services: FTP NFS Samba
三种服务的区别:
FTP:只能用来上传下载,它可以跨平台,走公网,但是安全性不好。
NFS:可以把远程的硬盘挂到本地来使用。只能在内网上跑。共享unix和linux的数据,可以在线编辑
Samba:安全性很好,可以作很多策略。用来windows和linux共享数据。也不能跑公网,cifs协议,可以在线编辑
AD+Samba 安全
FTP:
=========================================
建立一个用户,不允许交互式登录:
useradd -s /sbin/nologin redhat
改变匿名用户的主目录:
第一种方法:改变vim /etc/passwd 中的/ftp/var
第二种方法:在vim /etc/vsftpd/vsftpd.conf 中加上anon_root=/var/ftp/anon
默认是在/var/ftp/pub下的 。两者冲突以anon_root=的赋值优先
anonymous_enables=YES 匿名登录总开关
local_enable=YES 是否允许本地用户登录
缺省情况下,本地用户登录到自己的家目录。如果设置成NO,只有匿名和虚拟用户能登录。
指定所有本地用户登录都进入同一个目录:
local_root=/var/ftp/pub
write_enable=YES 用写的权限 可以上传
local_umask=022 本地用户上传的文件权限变为 644
anon_umask=077 匿名用户上传的权限是多少 只能上传,不能下载
匿名用户上传不了,SElinux的问题:vim /etc/vsftpd/vsftpd.conf 目录权限三个问题。
chmod 777 /var/ftp/pub
anon_upload_enable=YES
anon_mkdir_write_enable=YES
chon -t pubic_content_rw_t /var/ftp/pub
匿名上传有目录的权限问题,还有两个SElinux的问题。
anon_other_write_enable=YES 匿名可以删除自己的文件
dirmessage_enable=YES 是否可以访问到欢迎画面
xferlog_enables =YES 是否记录日志
connect_from_port_20=YES 是否用主动模式传输
chown_uploads=YES
chown_username=root 上传后的拥有人是root
xferlog_file=/var/log/vsftpd.log 日志放在哪里
idle_session_timeout=600 会话中断时间
data_connection_timeout 数据连接的时间
把一个用户锁在chroot环境一:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list 锁用户的列表
chroot_local_user=YES 是反向选择
ls_recurse_enable=YES 开启ls -lR
pam_service_name=vsftpd vsftpd这个服务受pam的限制
写在ftpusers 的用户不可以登录ftp服务的,就是在pam模块中限制的。
userlist_enables=YES
userlist_deny=NO 只用在/etc/vsftpd/user_list中的用户才能登录ftp
userlist_deny=YES 在/etc/vsfpd/user_list中的用户不能登录
ftpuser 和 user_list 中的拒绝优先
实验:pxe引导
vsftpd综合实验
VSFTPD:
1\local_root=/var/www/html
2\vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
vim /etc/vsftpd/chroot_list
team1
team2
3\如果只是让team1\team2访问要做acl
chmod 700 html
setfacl u:r-x:html
如果要把多个用户指定到固定目录:就用useradd -s /sbin/nologin -d /tmp/team3 team3
通过ping配合arp观察别人的MAC地址:
ping 192.168.0.254
arp -n
RH 401 课程大纲:
1、系统管理基础
2、装配PXE和DHCP
3、安装红帽卫星服务器
4、使用CVS管理配置文件
5、编译RPMS
6、管理红帽卫星服务器
7、RHN管理和装配
8、RHN代理服务器
9、kernel crash dump
10、Redhat虚拟化
11、虚拟化的管理
12、安装和配置虚拟机
13、高级虚拟化技术
