飞鸟星空&Asuka Starry sky - linux系统

构建带分离解析的主从域名服务器

feiniaonet@yahoo.cn (飞鸟) — Fri, 07 Jan 2011 22:14:26 +0800

实验环境

公司注册了DNS域“benet.com”，并准备基于RHEL5系统搭建两台DNS服务器，分别作为主、从域名服务器。首先需要在网关服务器上构建主域名服务，同时面向Internet和内部网络提供“benet.com”域内主机的名称解析服务。

需求描述

公司对外的公共域名（如“www.benet.com”、“mail.benet.com”）均解析到网关的公网IP地址173.16.16.1。

当局域网内的用户访问地址“www.benet.com”和“mail.benet.com”时分别解析到内部服务器的IP地址192.168.1.5.和1921.68.1.6 。

对“benet.com”域内其他地址的访问，均解析为外网IP地址173.16.16.1。

具体配置

主服务器的配置

[root@localhost ~]# mount /dev/cdrom /media/ 挂载光盘

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@localhost ~]# cd /media/Server/ 进入Server目录

[root@localhost Server]# rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm caching-nameserver-9.3.6-4.P1.el5.i386.rpm 安装DNS相关软件包

warning: bind-9.3.6-4.P1.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:bind ########################################### [ 50%]

2:caching-nameserver ########################################### [100%]

[root@localhost Server]# alias vi=vim 重命名VI

[root@localhost Server]# cd /etc

[root@localhost etc]# vi /etc/named.conf 编辑主配置文件

options { 全局配置

directory "/var/named"; 设置区域文件默认存放路径

};

view "lan" IN { 对内网解析的相关信息

match-clients { 192.168.1.0/24; }; 只允许192.168.1.0/24网段访问

zone "benet.com" IN {

type master; 类型为主

file "benet.com.zone.lan"; 区域文件名

};

zone "1.168.192.in-addr.arpa" IN { 相应反向记录

type master;

file "arpa.zone.lan";

};

view "wan" IN { 对外网用户的相关信息

match-clients { any; }; 允许任何人

zone "benet.com" IN {

allow-transfer { 173.16.16.2; }; 允许发送给从服务器的IP

type master;

file "benet.com.zone.wan";

};

zone "16.16.173.in-addr.arpa" IN {

allow-transfer { 173.16.16.2; };

type master;

file "arpa.zone.wan";

};

:wq

[root@localhost etc]# vi /var/named/benet.com.zone.lan 编辑区域内网解析区域文件

$TTL 86400 有效的地址解析记录的默认缓存时间

@ SOA benet.com. admin.benet.com. ( 设置SOA标记、域名、域管理员邮箱

2009022002 更新序列号

4H 刷新时间，从域名服务器更新该数据库时间

30M 重试延时，从域名服务器更新失败等待多长时间重试

12H 失效时间，越过该时间仍无法更新，则不尝试

1D) 设置无效地址记录的默认缓存时间

IN NS ns1.benet.com 域名服务器记录

IN MX 10 mail.benet.com. 邮件交换记录

ns1 IN A 192.168.1.1 A记录

www IN A 192.168.1.5

mail IN A 192.168.1.6

* IN A 173.16.16.1

[root@localhost etc]# cp /var/named/benet.com.zone.lan /var/named/benet.com.zone.wan

[root@localhost etc]# vi /var/named/benet.com.zone.wan

$TTL 86400

@ SOA benet.com. admin.benet.com. (

2009022002

30M

12H

1D)

IN NS ns1.benet.com

IN MX 10 mail.benet.com.

ns1 IN A 173.16.16.1

www IN A 173.16.16.1

mail IN A 173.16.16.1

* IN A 173.16.16.1

:wq

[root@localhost etc]# chown named benet.com.zone.lan benet.com.zone.wan 更改文件属主

[root@localhost etc]# service named restart 重启服务

service named restart

停止 named： [确定]

启动 named： [确定]

[root@localhost etc]#

从服务器配置

[root@localhost ~]# mount /dev/cdrom /media/ 挂载光盘

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@localhost ~]# cd /media/Server/

[root@localhost Server]# rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm caching-nameserver-9.3.6-4.P1.el5.i386.rpm 安装DNS服务相关包

warning: bind-9.3.6-4.P1.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:bind ########################################### [ 50%]

2:caching-nameserver ########################################### [100%]

[root@localhost Server]# alias vi=vim 重命名VI

[root@localhost Server]# cd

[root@localhost ~]# vi /etc/named.conf 编辑主配置文件

options {

directory "/var/named";

};

zone "benet.com" IN {

type slave; 类型为从

masters { 173.16.16.1; }; 认置主服务器IP

file "slaves/benet.com.zone";

};

zone "16.16.173.in-addr.arpa" IN {

type slave;

masters { 173.16.16.1; };

file "slaves/arpa.zone";

};

构建vsftpd文件传输服务器

feiniaonet@yahoo.cn (飞鸟) — Thu, 06 Jan 2011 21:17:51 +0800

实验环境

根据公司的开发部门和市场部门的业务发展要求，需要面向Internet搭建一台FTP文件服务器，以提供公测版本、市场资料的下载与上传、文件管理等应用，同时要对用户访问和下载/上传流量进行控制。考虑到服务器的运行效率及稳定、安全性，选择在RHEL5操作系统中构建VSFTPD服务器实现。

需求描述

采用FTP虚拟用户的方式，添加三个FTP虚拟用户devadm、sales、saleadm

设置用户访问及文件权限控制：

开放匿名访问，任何用户可以从/var/ftp/soft/目录下载资料

用户devadm可以对/var/ftp/soft/目录进行管理

用户sales可以从/var/market/目录下载资料

用户saleadm可以对/var/market/目录进行管理

所有上传的文件，均去除非属主位的写（w）权限

对服务器中没有明确授权的其他目录，均禁止以上用户访问

下载、上传流量及带宽控制：

最多允许150个并发用户连接，每IP并发连接数不超过5个

匿名用户及sales用户的下载带宽限制为100KB/秒

devadm、saleadm用户的下载、上传带宽限制为500KB/秒

具体配置

[root@localhost ~]# alias vi=vim

[root@localhost ~]# mount /dev/cdrom /media/ 挂载光盘

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@localhost ~]# rpm -ivh /media/Server/vsftpd-2.0.5-16.el5.i386.rpm 安装vsftpd服务

warning: /media/Server/vsftpd-2.0.5-16.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:vsftpd ########################################### [100%]

[root@localhost ~]# rpm -ivh /media/Server/db4-utils-4.3.29-10.el5.i386.rpm 安装db工具

warning: /media/Server/db4-utils-4.3.29-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:db4-utils ########################################### [100%]

[root@localhost ~]# cd /etc/vsftpd/

[root@localhost vsftpd]# vi vuser.txt 添加虚拟账户访问的用户名和密码

devadm 奇数行为用户名

123 偶数行为密码

sales

123

saleadm

123

:wq 保存退出

[root@localhost vsftpd]# db_load -T -t hash -f vuser.txt vuser.db 将账号文件转化成数据库文件

[root@localhost vsftpd]# chown 600 /etc/vsftpd/vuser.* 更改用户账号密码的文件权限

[root@localhost vsftpd]# useradd -d /var/market -s /sbin/nologin virtual 添加虚拟用户

[root@localhost vsftpd]# cp /usr/share/doc/vsftpd-2.0.5/EXAMPLE/VIRTUAL_USERS/vsftpd.pam /etc/pam.d/vsftpd.vu 将PAM认证样本文件复制到/etc/pam.d/vsftpd.vu

[root@localhost vsftpd]# vi /etc/pam.d/vsftpd.vu 编辑pam认证文件

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser

account required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser

:wq

[root@localhost vuser_dir]# vi devadm 编辑devadm用户权限

local_root=/var/ftp/soft 指定FTP根目录

write_enable=YES 允许写入

anon_mkdir_write_enable=YES 允许创建文件夹

anon_upload_enable=YES 允许上传

anon_other_write_enable=YES 允许其它写入权限

anon_max_rate=102400 设定最大下载带宽

:wq

[root@localhost vuser_dir]# vi sales 编辑sales用户权限

anon_max_rate=500000

local_root=/var/market

:wq

[root@localhost vuser_dir]# vi saleadm 编辑saleadm用户权限

anon_max_rate=500000

write_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_upload_enable=YES

local_root=/var/market

:wq

[root@localhost vuser_dir]# vi /etc/vsftpd/vsftpd.conf 编辑主配置文件

anonymous_enable=YES 允许匿名用户访问

local_enable=YES 允许本地用户访问

local_umask=022 本地用户创建文件掩码

dirmessage_enable=YES 用户切换目录提示信息

xferlog_enable=YES 启用xferlog日志

connect_from_port_20=YES 允许服务器主动模式

listen=YES 是否独立用行方式监听服务

pam_service_name=vsftpd.vu PAM认证文件位置

userlist_enable=YES 是否启用user_list文件列表

tcp_wrappers=YES 是否启用tcp_wrappers主机访问

anon_max_rate=102400 匿名用户最大下载带宽

guest_enable=YES 启用用户映射功能

guest_username=virtual 将映射用户指定为virtual

user_config_dir=/etc/vsftpd/vuser_dir 指定用户配置目录位置

anon_umask=022 虚拟用户上传文件的默认权限掩码

anon_root=/var/ftp/soft 匿名用户的FTP根目录

max_per_ip=5 相同IP最多允许5个并发连接

max_clients=50 同时允许50个客户端同时连接

:wq

[root@localhost vuser_dir]# mkdir /var/ftp/soft 创建/var/ftp/soft目录

[root@localhost vuser_dir]# chown virtual /var/ftp/soft 更改/var/ftp/soft目录属主

[root@localhost vuser_dir]# service vsftpd start 启动vsftpd服务

为 vsftpd 启动 vsftpd： [确定]

创建并使用逻辑卷

feiniaonet@yahoo.cn (飞鸟) — Wed, 05 Jan 2011 21:21:09 +0800

实验环境

公司准备在 Internet中搭建邮件服务器（RHEL5系统平台），面向全国各地的员工及部分VIP客户提供电子邮箱空间，由于用户数量众多，邮件存储需要大量的空间，考虑到动态扩容的需要，计划增加两块SCSI硬盘并构建LVM逻辑卷（挂载到"/mail“目录下）专门用于存放邮件数据。

[root@localhost ~]# fdisk -l 查看磁盘系统

Disk /dev/sda: 21.4 GB, 21474836480 bytes 第一块SCSI硬盘

255 heads, 63 sectors/track, 2610 cylinders

Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System

/dev/sda1 * 1 13 104391 83 Linux

/dev/sda2 14 2610 20860402+ 8e Linux LVM

Disk /dev/sdb: 21.4 GB, 21474836480 bytes 第二块SCSI硬盘

255 heads, 63 sectors/track, 2610 cylinders

Units = cylinders of 16065 * 512 = 8225280 bytes

Disk /dev/sdb doesn't contain a valid partition table

Disk /dev/sdc: 21.4 GB, 21474836480 bytes 第三块SCSI硬盘

255 heads, 63 sectors/track, 2610 cylinders

Units = cylinders of 16065 * 512 = 8225280 bytes

Disk /dev/sdc doesn't contain a valid partition table

[root@localhost ~]# pvcreate /dev/sdb /dev/sdc 创建PV

Physical volume "/dev/sdb" successfully created

Physical volume "/dev/sdc" successfully created

[root@localhost ~]# vgcreate vgmail /dev/sdb /dev/sdc 创建VG

Volume group "vgmail" successfully created

[root@localhost ~]# lvcreate -L +20G -n lvmail vgmail 创建LV

Logical volume "lvmail" created

[root@localhost ~]# mkfs.ext3 /dev/vgmail/lvmail 格式化

mke2fs 1.39 (29-May-2006)

Filesystem label=

OS type: Linux

Block size=4096 (log=2)

Fragment size=4096 (log=2)

2621440 inodes, 5242880 blocks

262144 blocks (5.00%) reserved for the super user

First data block=0

Maximum filesystem blocks=0

160 block groups

32768 blocks per group, 32768 fragments per group

16384 inodes per group

Superblock backups stored on blocks:

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,

4096000

Writing inode tables: done

Creating journal (32768 blocks): done

Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 34 mounts or

180 days, whichever comes first. Use tune2fs -c or -i to override.

[root@localhost ~]# mkdir /mail 创建/mail目录

[root@localhost ~]# mount /dev/vgmail/lvmail /mail 将LV挂载到/mail目录

[root@localhost ~]# df -hT /mail 查看/mail信息

文件系统类型容量已用可用已用% 挂载点

/dev/mapper/vgmail-lvmail

ext3 20G 173M 19G 1% /mail

[root@localhost ~]#

构建Samba文件共享服务器

feiniaonet@yahoo.cn (飞鸟) — Tue, 28 Dec 2010 21:59:28 +0800

实验环境

根据公司的信息化建设要求，需要在局域网内部搭建一台文件服务器，便于对数据的集中管理和备份。考虑到服务器的运行效率及稳定、安全性，选择在 RHEL5操作系统中构建Samba服务器以提供文件资源共享服务。

需求描述

创建3个文档目录：

/var/share/public，存放公共数据

/var/share/training，存放技术培训资料

/var/share/devel，存放项目开发资料

将/var/share/public目录共享为public

所有员工可匿名访问，但是只能读取文件，不能写入

将/var/share/training目录共享为peixun

只允许管理员admin及技术部的员工只读访问

将/var/share/devel/目录共享为kaifa

技术部的员工都可以读取该目录中的文件

但是只有管理员admin及benet项目组的员工有写入权限

具体配置

[root@localhost ~]# mkdir -p /var/share/public 递归创建public目录

[root@localhost ~]# mkdir /var/share/training 创建training目录

[root@localhost ~]# mkdir /var/share/devel 创建devel目录

[root@localhost ~]# useradd yun01 添加系统用户yun01

[root@localhost ~]# useradd tec01 添加系统用户tec01

[root@localhost ~]# useradd ben01 添加系统用户ben01

[root@localhost Server]# groupadd tech 添加技术部的组tech

[root@localhost Server]# groupadd benet 添加项目组的组benet

[root@localhost Server]# usermod -g benet ben01 更改ben01用户的基本组

[root@localhost Server]# usermod -g tech tec01 更改tec01用户的基本组

[root@localhost Server]# chgrp benet /var/share/devel/ 更改devel文件夹的属组

[root@localhost Server]# chmod 775 /var/share/devel/ 更改devel文件夹的权限

[root@localhost ~]# mount /dev/cdrom /media/ 挂载光盘

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@localhost ~]# cd /media/Server/ 进入光盘里的server目录

[root@localhost Server]# rpm -ivh samba-3.0.33-3.14.el5.i386.rpm perl-Convert-ASN1-0.20-1.1.noarch.rpm 安装samba服务端和依赖包

warning: samba-3.0.33-3.14.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:perl-Convert-ASN1 ########################################### [ 50%]

2:samba ########################################### [100%]

[root@localhost Server]# alias vi=vim 链接vi到vim

[root@localhost Server]# vi /etc/samba/smb.conf 编辑samba配置文件

[global] 全局配置

workgroup = MYGROUP 工作组

server string = Samba Server Version %v 服务器说明

security = user 验证方式

username map = /etc/samba/smbusers 指定名称映射文件

passdb backend = tdbsam

[homes] 宿主目录

comment = Home Directories 共享说明

browseable = no 不可见

writable = yes 允许写入

[printers] 打印机共享（因linux打印驱动较少，这里不做介绍）

comment = All Printers

path = /var/spool/samba

browseable = no

guest ok = no

writable = no

printable = yes

[public] 共享名称

comment = Public Stuff 共享说明

path = /var/share/public 物理路径

public = yes 允许公共访问

writable = on 不允许写入

read only = yes 只读

[peixun]

comment = peixun Stuff

path = /var/share/training

public = no

valid users = root @tech 允许访问的用户和组

read only = no

writable = no

[kaifa]

comment = kaifa Stuff

path = /var/share/devel

read only = no

writable = no

public = no

valid users = root @tech @benet

write list = root @benet 允许写入的用户和组列表

[root@localhost Server]# service smb start 开启samba服务

启动 SMB 服务： [确定]

启动 NMB 服务： [确定]

[root@localhost Server]# smbpasswd -a yun01 添加samba用户yun01

New SMB password: 设置密码

Retype new SMB password: 重复密码

Added user yun01 .

[root@localhost Server]# smbpasswd -a ben01 添加samba用户ben01

New SMB password:

Retype new SMB password:

Added user ben01.

[root@localhost Server]# smbpasswd -a tec01 添加samba用户tec01

New SMB password:

Retype new SMB password:

Added user tec01.

[root@localhost Server]# smbpasswd -a root 添加samba用户root

New SMB password:

Retype new SMB password:

Added user root.

[root@localhost Server]# vi /etc/samba/smbusers

# Unix_name = SMB_name1 SMB_name2 ...

root = admin 定义别名root 为admin

nobody = guest pcguest smbguest

[root@localhost Server]# service smb restart 重启samba服务

关闭 SMB 服务： [确定]

关闭 NMB 服务： [确定]

启动 SMB 服务： [确定]

启动 NMB 服务： [确定]

[root@localhost Server]#

实验说明：因为我是以WINDOWS客户端来访问的，所以按上面的配置来进行访问时，匿名用户是无法访问public共享的，因为全局配置了安全级别是用户。如果需要让WINDOWS用户可以匿名访问public，只需将全局配置里的安全级别改成share，但是这样更改好，WIDNOWS客户端要访问其它共享文件夹时，只能使用net use命令了。根据实际环境，自行取舍。