1、RHCE253實(shí)驗(yàn)（服務(wù)管理）試驗(yàn)2域名系統(tǒng)估計(jì)時(shí)間： 2個(gè)小時(shí)目標(biāo)： 安裝和配置一個(gè)DNS服務(wù)器試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝介紹本次實(shí)驗(yàn)指導(dǎo)您通過(guò)使用Berkeley Internet Name守護(hù)進(jìn)程來(lái)配置域名服務(wù)。使用模板文件作為指導(dǎo)，您將實(shí)現(xiàn)一個(gè)僅有緩存的域名服務(wù)器配置named作為的從域名服務(wù)器配置named作為主域名服務(wù)器用于轉(zhuǎn)發(fā)和IP反查詢?cè)谡麄€(gè)試驗(yàn)中，您使用的機(jī)器名稱和域名將基于您使用的機(jī)器的IP地址。如果下面的試驗(yàn)出現(xiàn)了X字樣的名稱，您應(yīng)該把X字樣的名稱替換成您的工作站的號(hào)碼（您的IP地址的最后一個(gè)部分）。例如，如果您的工作站的IP的地址是192.168

2、.0.3，您應(yīng)該將stationX.domainX轉(zhuǎn)換成。將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。本次試驗(yàn)中以root身份來(lái)使用下面命令達(dá)成上面的要求：service iptables stopchkconfig iptables off初始化安裝A. 獲得必要的文件需要bind,bind-utils和caching-nameserver軟件包。使用rpm q來(lái)決定這些軟件包是否被安裝。如果沒(méi)有被安裝，通過(guò)輸入如下命令來(lái)安裝（以root身份）：mk

3、dir /mnt/server1; mount server1:/var/ftp/pub /mnt/server1rpm Uvh /mnt/server1/RedHat/RPMS/bind-9*rpm Uvh /mnt/server1/RedHat/RPMS/bind-utils*rpm Uvh /mnt/server1/RedHat/RPMS/caching-nameserver*RPM軟件包bind包括DNS守護(hù)進(jìn)程和支持腳本，但是沒(méi)有配置和區(qū)域文件。caching-nameserver提供了一個(gè)通用的配置和區(qū)域文件。B. 配置本地的解析器配置您的主機(jī)使得它能夠被用來(lái)作為域名服務(wù)，而不是1

4、54。注意：直到您的域名服務(wù)器被正確安裝和配置，您的機(jī)器的DNS服務(wù)不會(huì)奏效。您也應(yīng)該注意到當(dāng)您的系統(tǒng)重新啟動(dòng)的時(shí)候或者重新設(shè)定您的網(wǎng)絡(luò)的時(shí)候您的/etc/resolve.conf將會(huì)被改寫(xiě)（除非您對(duì)您的網(wǎng)絡(luò)界面設(shè)定了在本講座中提及的PEERDNS）按照如下編輯您的解析器配置文件1 / 52/etc/resolv.confsearch domainXnameserver 192.168.0.X(記住將X替換成您的工作站的號(hào)碼)第一行定義了如果出現(xiàn)簡(jiǎn)單的不符合完整域名的主機(jī)名稱時(shí)默認(rèn)添加的缺省域。第二行指定了將主機(jī)192.168.0.X (您的機(jī)器)來(lái)作為DNS查詢的解析器。

5、為了簡(jiǎn)化情況，將除了localhost主機(jī)名稱的定義從您的主機(jī)名稱配置文件中刪除。/etc/hosts localhost localhost.localdomain該步驟并不是必需的，但是可以簡(jiǎn)化DNS的調(diào)式。有時(shí)候安裝程序會(huì)將符合完整域名的主機(jī)名放在localhost的這一行，這樣一來(lái)會(huì)使得您無(wú)法準(zhǔn)確的確定您的域名服務(wù)器配置是否正確。步驟1：配置一個(gè)僅有緩存的域名服務(wù)器第一個(gè)配置您將建立一個(gè)僅有緩存的域名服務(wù)器。這種類型的域名服務(wù)器對(duì)于任何區(qū)域都不授權(quán)。僅有緩存的域名服務(wù)器被設(shè)定為主域名服務(wù)器。當(dāng)主機(jī)名稱或者IP地址需要被解析的時(shí)候，僅有緩存的域名服務(wù)器將查詢請(qǐng)求轉(zhuǎn)發(fā)到另

6、外一臺(tái)域名服務(wù)器或者到根域名服務(wù)器來(lái)決定授權(quán)的用來(lái)解析的域名服務(wù)器。一旦解析完成，僅有緩存的域名服務(wù)器在緩存中存儲(chǔ)解析的信息，該解析信息有一段的生存周期。以后的查詢將會(huì)變得很快。您已經(jīng)安裝完對(duì)于此項(xiàng)配置所有必須的文件。按照如下步驟來(lái)配置域名服務(wù)器：1 在由caching-nameserver提供的/etc/named.conf中的“option”區(qū)域添加下面的內(nèi)容：forwarders 54; ;forward only;這將導(dǎo)致您工作站上的僅有緩存的域名服務(wù)器轉(zhuǎn)發(fā)其不能解析的DNS查詢到在54的域名服務(wù)器，并且如果超時(shí)，不與根域名服務(wù)器直接聯(lián)系。2

7、 啟動(dòng)named: service named start3 測(cè)試您的配置使用host或者dig來(lái)查詢一些名稱和一些真實(shí)的Internet域名（如果您有Internet訪問(wèn)接口的話）步驟2：配置一個(gè)從域名服務(wù)器一個(gè)從域名服務(wù)器將為一個(gè)區(qū)域提供授權(quán)的回答,但不是區(qū)域的授權(quán)開(kāi)始。您現(xiàn)在將重新配置您的域名服務(wù)器作為區(qū)域和0.168.192.區(qū)域的從域名服務(wù)器。1 在您的/etc/named.conf文件中添加如下行zone “” type slave;masters 54; ;file “slave-.zone”;zone “0.168.192.in-a

8、” type slave;masters 54; ;file “slave-192.168.0.zone”;2 重新啟動(dòng)named: servcie named restart3 檢查slave-.zone和slave-192.168.0.zone文件。這些文件應(yīng)該包含了從位于54的主域名服務(wù)器傳過(guò)來(lái)的區(qū)域數(shù)據(jù)庫(kù)的副本。確保所有的正確工作。在您開(kāi)始下一個(gè)部分之前，去除您剛才在第一步中在/etc/named.conf中加入的兩個(gè)從區(qū)域。步驟3：配置一個(gè)主域名服務(wù)器現(xiàn)在您將配制您的域名服務(wù)器來(lái)負(fù)責(zé)對(duì)于區(qū)域“domainX”的解析工作。您將

9、同樣負(fù)責(zé)向?qū)?yīng)的反查區(qū)域。將采用如下的步驟：A. 編輯配置文件（named.conf）B. 準(zhǔn)備區(qū)域“domainX”和區(qū)域“X.0.168.192.”的數(shù)據(jù)庫(kù)文件。C. 重新啟動(dòng)域名服務(wù)器D. 測(cè)試您的配置為了您能夠準(zhǔn)備您的配置文件和區(qū)域文件，我們提供了模板文件。您可以通過(guò)匿名ftp方式從以下地址獲得：54/pub/namedfiles/在如下的步驟中，記得將范例文件中中每一出出現(xiàn)的X替換成您的工作站的號(hào)碼。E. 主配置文件下面是我們應(yīng)該考慮的三個(gè)區(qū)域1 “.”（根級(jí)別）區(qū)域“.”區(qū)域是DNS層次中的最高層。根服務(wù)器提供了哪些服務(wù)器對(duì)于

10、給定的域享有授權(quán)?！?”節(jié)應(yīng)該以如下的方式出現(xiàn)：zone “.” type hint;file “named.ca”;2 “domainX”（正向查詢）區(qū)域添加如下的行，使得您的域名服務(wù)器成為區(qū)域的主服務(wù)器。zone “domainX” type master;file “domainX.zone”;3 “X.0.168.192.-”（反向查詢）區(qū)域現(xiàn)在添加如下的行，使得您的域名服務(wù)器成為反查區(qū)域的主服務(wù)器。zone “X.0.168.192.” type master;file “192.168.0.X.zone”;下面是位于192.168.0

11、.2的station2的樣例配置文件/etc/named.confoptions directory “/var/named”;forwarders 54; ;forward only;zone “.” type hint; file “named.ca”;zone "localhost" IN type master; file "localhost.zone"zone "0.0.127." IN type master; file "named.local"zone

12、 “” type master; file “.zone”;zone “92.” type master; file “.zone”;F. 數(shù)據(jù)庫(kù)文件您的主要配置文件指定了/var/named為數(shù)據(jù)庫(kù)所在的目錄。您現(xiàn)在必須在這個(gè)目錄下面為您區(qū)域和反查區(qū)域建立數(shù)據(jù)庫(kù)文件。這些數(shù)據(jù)庫(kù)文件包括您的SOA，NS，A，CNAME，MX，PTR和其他的可能的記錄。所有的數(shù)據(jù)文件以如下的行開(kāi)頭：$TTL 86400該數(shù)值是缺省的以秒計(jì)的生存期間，該數(shù)值對(duì)所有在該域中的記錄有效1 區(qū)域“domainX”在主配置文件中,區(qū)域“domainX”數(shù)據(jù)庫(kù)

13、文件被存放在/var/named/domainX。這個(gè)文件含有類似的如下的記錄開(kāi)始授權(quán)記錄 IN SOA stationX.domainX. root.stationX.domainX. (2001101100; Serial28800 ;Refresh14400 ;Retry3600000 ;Expire0) ;Negative“開(kāi)始授權(quán)”（SOA）記錄是數(shù)據(jù)庫(kù)文件的第一個(gè)資源記錄，但是它可能帶了一個(gè)前導(dǎo)符$TTL（缺省存活時(shí)間）。SOA記錄使得數(shù)據(jù)庫(kù)文件稱為該區(qū)域的授權(quán)的信息源。第一個(gè)標(biāo)記是后繼記錄適合的域，通常以“”簡(jiǎn)化形式出現(xiàn)，如果擴(kuò)展開(kāi)來(lái)那就是在named.conf文件中“zone”

14、節(jié)中所指明的域名（或者是在文件通過(guò)$ORIGIN定義的當(dāng)前區(qū)域，如果該定義存在的話）。第四個(gè)標(biāo)記使該域的主域名服務(wù)器，第五個(gè)是負(fù)責(zé)維護(hù)這個(gè)數(shù)據(jù)庫(kù)的系統(tǒng)管理員的電子郵件的地址，注意第一個(gè)分隔符替換了第一個(gè)標(biāo)記的符號(hào)（你能解釋為什么嗎？）。接下來(lái)在記錄中的條目指定了交互解析域名服務(wù)器的動(dòng)態(tài)特性。域名服務(wù)器記錄 IN NS stationX.domainX.域名服務(wù)器（NS）標(biāo)識(shí)了主機(jī)作為特定域的授權(quán)的域名服務(wù)器。他們對(duì)于這個(gè)區(qū)域指定了主和從服務(wù)器和代表授權(quán)的子域的其他的服務(wù)器（例如，對(duì)于所有domainX的域名服務(wù)器有一個(gè)NS記錄）。正如您對(duì)于“domainX”只能有一個(gè)單一的域名服務(wù)器，您也只能

15、有一個(gè)單一的NS記錄。地址記錄domainX IN A 192.168.0.XstationX.domainX IN A 192.168.0.Xwww IN A 192.168.0.Xftp IN A 192.168.0.Xpop IN A 192.168.0.X地址（A）記錄將主機(jī)名稱映射到IP地址（域名服務(wù)器的主要功能）。一個(gè)數(shù)據(jù)庫(kù)文件通常包含A記錄對(duì)應(yīng)著許多IP地址。然而在我們的教室的環(huán)境里，在您的區(qū)域里面只有一臺(tái)主機(jī)。注意第一個(gè)A記錄設(shè)定了域的“缺省的IP地址”。接下來(lái)的A記錄建立了多個(gè)主機(jī)名稱對(duì)應(yīng)一個(gè)IP地址。主機(jī)名稱可以是一個(gè)完全符合標(biāo)準(zhǔn)的名稱（FQDN），也可以是一個(gè)縮寫(xiě)。所有的

16、不以點(diǎn)號(hào)結(jié)尾的主機(jī)名稱都將被視為縮寫(xiě)，并且區(qū)域名稱被附加到主機(jī)名稱的后面。例如，第三個(gè)A記錄就是主機(jī)名稱www.domainX.規(guī)范名稱（別名）記錄www1 IN CNAME stationX.domainX.www2 IN CNAME stationX.domainX.www3 IN CNAME stationX.domainX.別名（CNAME）記錄建立了主機(jī)名稱的別名。注意到別名映射到主機(jī)名稱而不是IP地址。CNAME不應(yīng)該出現(xiàn)在右邊的數(shù)據(jù)區(qū)域作為真實(shí)的主機(jī)名稱，對(duì)于多重別名的解析的速度會(huì)很慢。郵件交換記錄 IN MX 10 stationX.domainX.domainX IN MX

17、10 stationX.domainX.郵件交換記錄（MX）記錄了一個(gè)主機(jī)它將會(huì)處理給定的域或者主機(jī)郵件的轉(zhuǎn)發(fā)。當(dāng)一個(gè)郵件傳遞代理（MTA）試圖投遞信件的時(shí)候，它將首先試圖在DNS中查找目的主機(jī)的MX記錄。如果該MX記錄存在，那么將直接發(fā)送到MX記錄指定的主機(jī)。反之，如果不存在MX記錄，MTA對(duì)于目的主機(jī)進(jìn)行標(biāo)準(zhǔn)的DNS查詢，并且直接投遞到該主機(jī)上去。MX記錄用來(lái)建立郵件的網(wǎng)關(guān)，和作為缺省的對(duì)于域的郵件的目的地。2 區(qū)域“X.0.168.192.”在/etc/named.conf中，我們指定了/var/named/192.168.0.X.zone作為區(qū)域X.0.168.

18、192.的反查區(qū)域數(shù)據(jù)庫(kù)文件。他應(yīng)該包含SOA記錄，NS記錄，和對(duì)應(yīng)的PTR記錄。開(kāi)始授權(quán)記錄 IN SOA stationX.domainX. root.stationX.domainX. (4; 10800； 3600； 604800； 86400） IN NS stationX.domainX.SOA和NS記錄與前面的區(qū)域文件中的名稱應(yīng)該相同。注意在NS記錄開(kāi)頭的空白的地方是非常特別的，并且被解釋為“和上一條記錄相同”的縮寫(xiě)。在本例中，上一條記錄為符號(hào)“”，其本身就是在主配置文件中定義的域名的縮寫(xiě)。指針記錄X.0.168.192.IN-ADDR.ARPA. IN

19、PTR stationX.domainX.指針（PTR）記錄通過(guò)間接的機(jī)制將名稱映射到IP地址。作為分離的技術(shù)來(lái)進(jìn)行IP地址的反查詢的替代，BIND采用了一種修改的對(duì)于特定主機(jī)名稱的正向查詢的方式。這種“反向域名查詢”以反轉(zhuǎn)的IP地址后面添加“”域的形式出現(xiàn)。這將允許域名服務(wù)器使用相同的機(jī)制進(jìn)行正反兩方面的查詢。3 把他們放在一起下面是位于的station2的樣例配置文件：/var/named/.zone$TTL 86400 IN SOA . . ( 2001101100; Serial 28800 ; Refresh 14400 ; Retry

20、3600000 ; Expire 0) ; Negative IN NS . IN A . IN A www IN A ftp IN A pop IN A www1 IN CNAME .www2 IN CNAME .www3 IN CNAME . IN MX 10 .station2 IN MX 10 ./var/named/.zone$TTL 86400 IN SOA . . (4 10800 3600 604800 86400） IN NS .92.IN-ADDR

21、.ARPA. IN PTR . C. 重新啟動(dòng)域名服務(wù)器再一次，我們將重新啟動(dòng)域名服務(wù)器。然后通過(guò)運(yùn)行pidof命令來(lái)確定其被運(yùn)行：service named restartpidof named查看一下服務(wù)器添加到/var/log/messages文件中的條目。確定您的域名在調(diào)入的時(shí)候沒(méi)有發(fā)生錯(cuò)誤。如果您已經(jīng)有一個(gè)域名服務(wù)器在運(yùn)行并且不想重新啟動(dòng)它，您可以使用service named reload 來(lái)重新裝入配置文件，這樣子對(duì)于停止和啟動(dòng)服務(wù)器而言都比較快。D. 測(cè)試域名服務(wù)器進(jìn)行如下DNS查詢，您能夠解釋所有的結(jié)果么？host stationXdig stationXdig statio

22、nX 54dig stationXhost host 192.168.0.Xdig x 192.168.0.Xdig x 54host wwwhost www1記住dig期望給與一個(gè)FQDN作為查詢，然而host則通過(guò)查看位于文件/etc/resolv.conf的查詢信息。試著在別的人的域名服務(wù)器和子域上進(jìn)行附加的查詢。如果設(shè)定正確，您將能夠在其他教室系統(tǒng)上進(jìn)行正向和反向查詢。挑戰(zhàn)性的項(xiàng)目通過(guò)增加多個(gè)“A”記錄使得一個(gè)主機(jī)名稱對(duì)應(yīng)著不同的IP地址來(lái)配置一個(gè)“輪轉(zhuǎn)”的主機(jī)名稱。域名服務(wù)器該如何處理這種情況？提示： 試圖嘗試設(shè)定這些的A記錄的TTL為0。

23、在您的域中增加子域“support.somainX”。增加合適的資源記錄使得它能夠反向指向您的IP地址。與另一臺(tái)工作站合作，成為另一臺(tái)工作站的從域名服務(wù)器，在您的區(qū)域中為您的工作站增加一個(gè)新的CNAME，確保這個(gè)改變能夠傳播到從服務(wù)器。收尾工作接下來(lái)的試驗(yàn)就較為簡(jiǎn)單了，一旦您重新啟動(dòng)您的工作站，所有的DNS查詢將會(huì)重新設(shè)定到教室中的服務(wù)器上。為了確保收尾，確保您重新設(shè)定/etc/resolve.conf到其初始的狀態(tài)。/etc/resolv.confsearch nameserver 54/etc/hosts localhost localhost.lo

24、caldomain localhost192.168.0.X stationX(如果您關(guān)閉后啟動(dòng)eth0接口，DHCP將會(huì)自動(dòng)為您設(shè)定配置文件)試驗(yàn)3Samba服務(wù)估計(jì)時(shí)間： 1個(gè)小時(shí)目標(biāo)： 使用samba共享用戶認(rèn)證和文件系統(tǒng)試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉。缺省的安裝將會(huì)有一個(gè)文件叫做“/etc/sysconfig/iptables”，該文件配置了iptable的功能。運(yùn)行“chkconfig iptables off”。為了去除空間中所有的規(guī)則，運(yùn)行“service iptables

25、stop”步驟1：Samba的用戶連接的配置任務(wù)1. 安裝samba,samba-common和samba-client RPM 軟件包并且啟動(dòng)smb服務(wù)。一個(gè)缺省的配置將會(huì)被應(yīng)用. 使用如下的命令確定Samba是在正確的工作：smbclient L localhost N您可以從服務(wù)器獲得回應(yīng)，但是并不代表文件共享可用。（確保smbd在運(yùn)行，否則該命令無(wú)法工作）2在您的系統(tǒng)中增加幾個(gè)用戶（karl,joe,mary和jen），但是并不給他們?cè)O(shè)定密碼。這些用戶僅能夠從samba服務(wù)訪問(wèn)服務(wù)器。為了使得他們?cè)趕hadow中不含有密碼，這些用戶的shell應(yīng)該設(shè)定為/sbin/nologin3缺省

26、的samaba是被配置用來(lái)接收加密的密碼的，但是在文件/etc/samba/smbpasswd中沒(méi)有設(shè)定任何密碼。如果加密的密碼在/etc/samba/smb.conf被設(shè)定，smbclient將發(fā)送加密的密碼，所以為了在您的系統(tǒng)上測(cè)試samba服務(wù)，您應(yīng)該首先建立smbpasswd文件，然后為每一個(gè)用戶在該文件中添加密碼。4注意到第一個(gè)在/etc/samba/smb.conf設(shè)定的共享home并沒(méi)有指定路徑。該共享被配置用來(lái)當(dāng)用戶連接并且認(rèn)證通過(guò)以后共享用戶的home目錄。瀏覽一個(gè)或者兩個(gè)用戶的home目錄。上傳一個(gè)文件到j(luò)oe的home目錄?？捎玫慕Y(jié)果一個(gè)工作的samba服務(wù)可以被多個(gè)用戶

27、通過(guò)smbclient訪問(wèn)。步驟2： 提供給組目錄訪問(wèn)的權(quán)限場(chǎng)景故事為了使得我們的四個(gè)用戶除了有他們自己的在服務(wù)器上的共享，我們這四位用戶同時(shí)在同一個(gè)部門工作并且需要一個(gè)地方來(lái)存儲(chǔ)部門的文件。我們將需要一個(gè)Linux用戶組，建立一個(gè)目錄給這些用戶來(lái)存儲(chǔ)它們的內(nèi)容，并且配置samba服務(wù)器來(lái)共享目錄。任務(wù)1 建立一個(gè)對(duì)于擁有g(shù)id為30000的用戶叫做legal的新組并且使用usermod命令將這些用戶加到組里去。2 建立一個(gè)目錄/home/depts/legal。對(duì)于這個(gè)目錄設(shè)定擁有權(quán)限，使得在legal組中的用戶可以在這個(gè)目錄中添加刪除文件，然而其他的人不可以。并且設(shè)定SGID和粘滯位使得所

28、有在這個(gè)目中建立的文件都擁有同legal組的權(quán)限并且組中其他的的人不能夠刪除該用戶建立的文件。3 在/etc/samba/smb.conf中建立一個(gè)samba共享叫做legal。只有l(wèi)egal組中的用戶才能夠訪問(wèn)該共享。并且確保在legal中存放的文件的被建立的許可權(quán)限為0600。4 重新啟動(dòng)smb服務(wù)并且使用smbclient；來(lái)進(jìn)行測(cè)試。可用的結(jié)果1 只有l(wèi)agal組能夠訪問(wèn)和使用一個(gè)Linux目錄。2 一個(gè)samba共享只有l(wèi)egal組的用戶能夠訪問(wèn)并且編輯步驟3：為打印機(jī)提供訪問(wèn)場(chǎng)景故事在samba中除了可以共享文件以外，另外一個(gè)重要的功能就是提供共享打印隊(duì)列，該打印隊(duì)列已經(jīng)在您的Li

29、nux機(jī)器上定義。實(shí)際上，缺省的，所有在Linux機(jī)器上配置的打印隊(duì)列通過(guò)printers共享到網(wǎng)絡(luò)上去。在該步驟中，您將建立一個(gè)打印隊(duì)列，通過(guò)samba服務(wù)器進(jìn)行共享。然后通過(guò)smbclient來(lái)查看共享的打印機(jī)。任務(wù)1 使用redhat-config-printer建立一個(gè)新的打印隊(duì)列。把打印隊(duì)列命名為printerX（其中X為您的工作站的號(hào)碼）。配置打印機(jī)到本地連接的打印機(jī)/dev/lp0。配置打印隊(duì)列確保任何遞交的打印作業(yè)將保留在隊(duì)列中。不要忘記重新啟動(dòng)samba服務(wù)器。2 通過(guò)smbclient來(lái)連接samba服務(wù)器上共享的printerX。使用print命令來(lái)遞交打印作業(yè)到隊(duì)列中去

30、。檢查作業(yè)已排隊(duì)否?？捎玫慕Y(jié)果1. 一個(gè)定義的Linux打印隊(duì)列printerX2. 一個(gè)Samba服務(wù)器允許授權(quán)的用戶打印到共享打印機(jī)printerX挑戰(zhàn)1：安全和備份Samba/SMB現(xiàn)在所有的東西都可以運(yùn)行了，我們應(yīng)該考慮在Samba服務(wù)器上的網(wǎng)絡(luò)安全和數(shù)據(jù)的可靠性了。任務(wù)1 定義并且保護(hù)對(duì)于samba服務(wù)器而言合法的連接。在文件/etc/samba/smb.conf中使用hosts allow參數(shù)來(lái)確定所有教室里的子網(wǎng)和本地回環(huán)子網(wǎng)。2 使用testparm測(cè)試/etc/samba/smb.conf的語(yǔ)法。這個(gè)是否顯示出一些應(yīng)該考慮的安全上的漏洞呢？3 對(duì)您的鄰居的legal 共享進(jìn)行

31、備份。通過(guò)用戶karl的帳戶建立一個(gè)共享的數(shù)據(jù)打包，使用或者smbtar命令或者smbclient 的-T 選項(xiàng)?？捎玫慕Y(jié)果1samba服務(wù)器能夠識(shí)別來(lái)自允許的子網(wǎng)或者主機(jī)的連接2一個(gè)SMB或者Samba共享的備份數(shù)據(jù)打包一種解決方案步驟1l rpm ivh ftp:/rpm ivh ftp:/service smb startsmbclient L localhost Nl useradd s /bin/false karluseradd s /bin/false joeuseradd s /bin/false maryuseradd s /bin/false jenl smbpasswd

32、a karlsmbpasswd a joesmbpasswd a marysmbpasswd a jenl smbclient /localhost/joe U joe您應(yīng)該看到smb:>提示符put /etc/hosts hosts步驟2l groupadd g 30000 legalusermod G legal karlusermod G legal joeusermod G legal maryusermod G legal jenl mkdir p /home/depts/legalchgrp legal /home/depts/legalchmod 3770 /home/de

33、pts/legall 在文件/etc/samba/smb.conf文件中，共享定義部分：legalcommnet = Legals filespath = /home/depts/legal public = no write list = legalcreate mask =0660l service smb restart步驟3：l redhat-config-printerl service smb restartl smbclient /localhost/printerX u joe復(fù)習(xí)問(wèn)題1 在ftp和smbclient之間有什么相同的地方？您使用ftp的時(shí)候永什么命令進(jìn)行上傳？f

34、tp和smbclient之間上傳操作之間有什么不同。2 命令nmblookup *的作用是什么3 smbtar命令是干什么的？4 testparm /etc/samba/smb.conf 6 是做什么用的？5 使用smbmount命令該使用什么語(yǔ)法？試驗(yàn)4電子郵件估計(jì)時(shí)間： 2個(gè)小時(shí)目標(biāo)： 建立基本的MTA的配置的技能試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝指導(dǎo)教師:確保在Server1上的sednmail.mc文件中的DAEMON_OPTIONS被注釋并且重新編譯sendmail.cf文件使得能構(gòu)接受來(lái)自其他主機(jī)的電子郵件。介紹本次實(shí)驗(yàn)作為一個(gè)安裝和配置MTA的

35、介紹。在介紹中我們將提及sendmail和postfix。您可以選擇任何一個(gè)MTA，如果時(shí)間允許，您兩個(gè)都可以做一下試驗(yàn)。在接下來(lái)的步驟中，您將安裝并且驗(yàn)證sendmail的“發(fā)件箱”為您的sendmail的按渣添加新的別名使用m4工具來(lái)改變您的轉(zhuǎn)發(fā)行為安裝POP3服務(wù)器并且配置POP客戶端在整個(gè)試驗(yàn)中，主機(jī)和域名取決于您的機(jī)器的IP地址。如果下面的試驗(yàn)出現(xiàn)了X字樣的名稱，您應(yīng)該把X字樣的名稱替換成您的工作站的號(hào)碼（您的IP地址的最后一個(gè)部分）。例如，如果您的工作站的IP的地址是，您應(yīng)該將stationX.domainX轉(zhuǎn)換成。將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之

36、前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。本次試驗(yàn)中以root身份來(lái)使用下面命令達(dá)成上面的要求：service iptables stopchkconfig iptables off初始化安裝安裝必要的軟件包下列軟件包對(duì)于sendmail是必需的： sendmail,sendmail-cf,sendmail-doc,m4和procmail。對(duì)于postfix而言，您需要: postfix。如果需要他們，從CD上進(jìn)行檢視和安裝，server1的NFS安裝點(diǎn)，從: ftp:/server1/pub

37、/RedHat/RPMS/步驟1：配置MTA來(lái)收取郵件為了安全的原因，sendmail和postfix的缺省的配置允許發(fā)郵件但是不允許從網(wǎng)絡(luò)上接收郵件（缺省的它們只接受從回環(huán)接口上的連接）。按照如下配置您選擇的MTA使得它接受傳入的連接：1.對(duì)于sendmail: 修改 /etc/mail/sendmail.mc使用dnl注釋在下面的行之前，就象這樣：dnl DAEMON_OPTIONS(Port=smtp,Addr=, Name=MTA')2.將您的sendmail.cf文件做一個(gè)備份：cp /etc/mail/sendmail.cf /etc/mail/sendm

38、ail.cf.orig3.在同一個(gè)目錄下，編譯sendmail.cfm4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf4.重新啟動(dòng)sendmail,通過(guò)service sendmail restart對(duì)于postfix:修改/etc/postfix/main.cfA.找到并注釋如下行inet_interfaces = localhostB.取消注釋該行：inet_interfaces = allC. 保存文件并且進(jìn)行到步驟2 的結(jié)束的地方。找到和上面一樣的對(duì)應(yīng)于postfix的配置的地方。步驟2： 啟動(dòng)和校驗(yàn)MTA操作對(duì)于sendmail:

39、有幾個(gè)步驟您應(yīng)該采用，以確保sendmail被正確安裝。A.確信sendmail已經(jīng)被在適當(dāng)?shù)倪\(yùn)行級(jí)別上運(yùn)行檢查您的sendmail被適當(dāng)?shù)呐渲们夷軌蛟谥匦聠?dòng)以后其能夠運(yùn)行。使用chkconfig是比較方便的。chkconfig -list sendmailsendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off如果sendmail在標(biāo)準(zhǔn)的用戶運(yùn)行級(jí)別時(shí)無(wú)效，使用chkconfig, ntsysv 或者serviceconf 之類的工具來(lái)激活服務(wù)。B.確定sendmail沒(méi)有在啟動(dòng)的時(shí)候出現(xiàn)錯(cuò)誤Red Hat Linux安裝的時(shí)候使用提供的syslog工具

40、來(lái)記錄所有的信息到文件/var/log/maillog中去。檢查此文件中的最后出現(xiàn)“starting”的地方以確保sendmail在啟動(dòng)的時(shí)候沒(méi)有任何錯(cuò)誤。sendmail可執(zhí)行文件位于/usr/sbin/sendmail。為了確定sendmail是否正確標(biāo)識(shí)您的主機(jī)名稱，通過(guò)命令行開(kāi)關(guān)開(kāi)啟其調(diào)試模式并且設(shè)定為0：sendmail d0 < /dev/nullVersion 8.11.6Compiled with: LDAPMAP MAP_REGEX LOG MATCHGECOS MIME7TO8 MIME8TO7NAMED_BIND NETINET NETINET6 NETUNIX N

41、EWDB NIS QUEUE SASL SCANFSMTP TCPWRAPPERS USERDB= SYSTEM IDENTITY (after readcf) =(short domain name) $w = station2(canonical domain name) $j = (subdomain name) $m = station2(node name) $k = =Recipient names must be specified如果sendmail返回您的主機(jī)名稱為localhost,您可能錯(cuò)誤配置了/etc/hosts文件。檢查您的/etc/hosts文件，刪除所有的但記住

42、留下localhost的指向。如果/etc/hosts文件是正確的，那么檢查一下在/etc/sysconfig/netwoek中的HOSTNAME的定義。試圖向rootserver1發(fā)送簡(jiǎn)單的郵件。您可以看到一個(gè)合理的您的主機(jī)的轉(zhuǎn)發(fā)服務(wù)器的SMTP交換。echo “hello root” | mail v s hello rootserver1rootserver1. Connecting to via relay.220 localhost.localdomain ESMTP Sendmail 8.12.8/8.12.8; Mon, 22 Sep 2003 14:29:2

43、4 +0800>>> EHLO localhost.localdomain250-localhost.localdomain Hello station1 , pleased to meet you.>>> MAIL From:<rootlocalhost.localdomain> SIZE=52 AUTH=rootlocalhost.localdomain250 2.1.0 <rootlocalhost.localdomain>. Sender ok>>> RCPT To:<rootserv

44、er1>>>> DATA250 2.1.5 <rootserver1>. Recipient ok354 Enter mail, end with "." on a line by itself>>> .250 2.0.0 h8M6TOU5026513 Message accepted for deliveryroot82. Sent (h8M6TOU5026513 Message accepted for delivery)Closing connection to >

45、>> QUIT221 2.0.0 localhost.localdomain closing connection如果SMTP交換向上面一樣正確，那么消息將被轉(zhuǎn)發(fā)到您的工作站上的本地的轉(zhuǎn)發(fā)服務(wù)器上，并且mailq Ac將會(huì)報(bào)告一個(gè)空的對(duì)列。接下來(lái)檢查mail（不使用參數(shù)）來(lái)檢查一下消息是否從本地的轉(zhuǎn)發(fā)到server1。這樣對(duì)列也應(yīng)該是空的。您的消息是不是在/var/log/maillog中正確的記錄呢？在下面的步驟中，監(jiān)視文件/var/log/maillog。下面的命令將會(huì)十分的有用：xterm e tail f /var/log/maillog &對(duì)于postfix:A.

46、運(yùn)行service sendmail stop，接下來(lái)使用redhat-switch-mail使得postfix成為活躍的MTA。您也可以使用如下的命令行：alternatives set mta /usr/sbin/sendmail.postfixB.確保postfix在合適的運(yùn)行級(jí)別有效：chkconfig -list postfixpostfix 0:off 1:off 2:on 3:on 4:on 5:on 6:offC.確定hostname命令正確的返回您的主機(jī)名稱。應(yīng)該是您的FQDN。如果sendmail返回您的主機(jī)名稱為localhost,您可能錯(cuò)誤配置了/etc/hosts文件

47、。檢查您的/etc/hosts文件，刪除所有的但記住留下localhost的指向，然后再試一遍。如果/etc/hosts文件是正確的，那么檢查一下在/etc/sysconfig/netwoek中的HOSTNAME的定義。當(dāng)這些值都正確的時(shí)候，啟動(dòng)postfix服務(wù)。D.確定postfix在啟動(dòng)的時(shí)候沒(méi)有錯(cuò)誤和sendmail一樣，Red Hat Linux的安裝使用提供的syslog工具來(lái)記錄所有的信息到文件/var/log/maillog中去。檢查此文件中的最后查找任何錯(cuò)誤信息。試圖向rootserver1發(fā)送簡(jiǎn)單的郵件并且檢查/var/log/maillog的記錄文件mail s echo

48、 $USER rootserver1 < /etc/redhat-release應(yīng)該如下所示：Sep 22 02:51:50 station1 postfix/pickup2865: A20ED348389: uid=0 from=<root>Sep 22 02:51:50 station1 postfix/cleanup3534: A20ED348389: message-id=<20030922065150.A20ED348389>Sep 22 02:51:50 station1 postfix/nqmgr2866: A20ED348389: from=<

49、;rootstation1.e>, size=341, nrcpt=1 (queue active)Sep 22 02:51:51 station1 postfix/smtp3536: A20ED348389: to=<root82>, relay=8282, delay=1, status=sent (250 Message queued)步驟3：添加新的別名對(duì)于sendmail:在sendmail決定消息的接受者的目的地的之前，其先試圖在別名中查找。sendmail的主要的別名配置文件是/etc

50、/aliases。為了優(yōu)化查找，sendmail為其別名記錄建立了一個(gè)哈希表數(shù)據(jù)庫(kù)/etc/aliases.db.該文件通過(guò)newalias命令產(chǎn)生（該命令是sendmail bi的同名）下列命令將增加用戶student(如果不存在的話)useradd student在/etc/aliases 行加入如下的行：me: studentwizards: root, memethere: studentstationX現(xiàn)在運(yùn)行newalias 命令來(lái)更新數(shù)據(jù)庫(kù)，嘗試發(fā)送郵件給您定義的收件人：newaliasecho “hello there” | mail s “hello” meecho “hel

51、lo there” | mail s “hello” wizardsecho “hello there” | mail s “hello” methere您是否得到了期望的結(jié)果？是否所有的位于wizards的收件人都受到了郵件？如果沒(méi)有，su 到不是root的用戶再試一次。在postfix決定消息的接受者的目的地的之前，其先試圖在別名中查找。postfix的主要的別名配置文件是/etc/postfix/aliases。為了優(yōu)化查找，postfix為其別名記錄建立了一個(gè)哈希表別名數(shù)據(jù)庫(kù)/etc/postfix/aliases.db（和sendmail類似）.該文件通過(guò)newalias命令產(chǎn)生。下列命令將增加用戶student(如果不存在的話)useradd student在/etc/postfix/aliases 行加入如下的行：注意：注釋root別名的那一行為postfixme: studentwiz