零基础学习云计算及大数据DBA集群架构师Linux系统网络服务及安全配置2015年1月4日周一

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了零基础学习云计算及大数据DBA集群架构师Linux系统网络服务及安全配置2015年1月4日周一相关的知识,希望对你有一定的参考价值。

dns服务
1.服务名   守护进程名
at         atd
cron       crond
2.基于daemon可以分为两类
   1) stand alone daemon 独立启动服务
   2) super daemon   超级服务
3. stand alone daemon
  1) 什么是独立启动的服务: 不借助计算机其它资源,独立启动的服务
  2) 特征: 
     1.状态控制脚本存放的位置/etc/init.d目录下,
      el6:可以使用sevice atd restart 命令去变更服务的状态
          /etc/init.d/atd restart 去变更服务的状态
      el7:systemctl restart atd  变更服务状态的方法  -->可以通过man systemctl查看相应的一些帮助.
      2.程序的初始化配置文件:/etc/sysconfig/
         3.数据文件 /var
      4.日志 /var/log,也可以根据程序自身的设定而变更位置.
     5.主配置文件 /etc    以.conf结尾,或者.cf结尾
     6. el6:    进程文件   /var/run  以pid结尾.
        el7:    进程    /run    以pid结尾
     7.永久占用系统资源,优势在于能够及时响应客户请求.
     8.会有监听端口号,用来区别客户端访问的不同服务.
        1-1023是知名端口号
        1024-65535 随机端口号
           查看端口号的方法:
        netstat -ntlup  n:不做解析
                t:tcp
                l:监听的端口号
                u:udp
                p:协议
4.super daemon  --> xinetd服务
用来唤醒其它服务的程序


======================================================
DNS
1.作用:用来解析主机名和IP地址 和/etc/hosts文件类似
2.实现机制:分层式结构
                       .  根域
                com   cn    org    edu    二级域
          baidu   sina                     子域
      www  主机
全球共有13台根域
3.fqdn 完全合格的域名=主机名+域名
www.baidu.com. 
4.查找顺序   
    优先读取本地的/etc/hosts文件,再去读取dns
    由/etc/nsswitch.conf定义先后顺序
    DNS的查询方式  1) 递归查询   A -->B -->C
                          A <--B <--C   
              2) 迭代查询
                 A -->B 
                A C<--B
                A -->C
                A <--C0
5./etc/resolv.conf  DNS服务器指向文件,找谁来帮我做解析.
nameserver 172.25.254.250

==============================================
DNS服务的软件
1.bind  DNS服务器的主程序.   
2.bind-chroot   出于安全性考虑,用来挂机目录和配置文件的辅助程序
===============================================
配置文件
1.主配置文件 /etc/named.conf
2.zone的定义文件/etc/named.rfc1912.zones
3.数据文件  /var/named目录下,由zone的定义文件file字段决定文件名称


===============================================
实验
1.主配置文件 vim /etc/named.conf
 listen-on port 53 { any; };
 allow-query     { any; };
2.定义域  vim /etc/named.rfc1912.zones
zone "abc.com" IN {
    type master;
    file "abc.com.zone";
    allow-update { none; };
};
3.生成数据文件
cd /var/named
cp -p named.localhost abc.com.zone
vim abc.com.zone
    NS    @             --> @代表继承域名
    A    172.25.0.11   --> 这两行代表我的域名是abc.com,对应ip172.25.0.11
www    A    172.25.0.254  --> www.abc.com是172.25.0.254主机
    MX 5    mail
mail    A    172.25.0.253  --> mail服务器必须要指定MX优先级 .mail服务器是172.25.0.253
ftp    CNAME    bbs          --> CNAME代表别名,ftp又叫做bbs
bbs    A    172.25.0.252  --> bbs是172.25.0.252

4.启动服务.
service named restart  
5. vim /etc/resolv.conf  指定谁来做解析
nameserver 172.25.0.11
6. 检测 nslookup

如果发现在service named restart的时候rndc.key这里启不来
rndc-confgen -a -r /etc/named.conf

反解
1.主配置文件
2.定义域  vim /etc/named.rfc1912.conf
zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "test.arpa";
        allow-update { none; };
};
3.生成数据文件
cd /var/named
cp -p named.localhost test.arpa
    NS    test.com.
254    PTR    test.com.
253    PTR    www.test.com.
252    PTR    mail.test.com.
251    PTR    ftp.test.com.
4.重启服务
5.vim /etc/resolv.conf  指定谁来做解析
nameserver 172.25.0.11
6.nslookup

=================================

DNS主辅同步

1.作用:
    1)安全性
    2)负载均衡
2.实验
master机器上的配置
  1) 变更zone 定义
      allow-transfer { 172.25.0.10; };  允许谁来和我做同步
  2) 变更数据文件
$TTL 1D    --> 缓存周期1D代表一天
@       IN SOA  @ 用户名.域名#这个不改也没关系  (        --> SOA 起始授权记录
                                     20160106 ; serial    -->序列号,比对工具
                                        1D      ; refresh -->多久做一次同步
                                        1H      ; retry   -->同步失败后,多久重试
                                        1W      ; expire  -->同步失败后,多久失效
                                        3H )    ; minimum -->最小缓存时间
slave机器上的配置:
  1) 装包
  2) 主配置文件修改
listen-on port 53 { any; };
allow-query     { any; };
  3) 定义域
zone "test.com" IN {
        type slave;
        masters { 172.25.0.11; };
        file "slaves/test.com.zone";
        allow-update { none; };
};
zone "0.168.192.in-addr.arpa" IN {
        type slave;
        masters { 172.25.0.11; };
        file "slaves/test.arpa";
        allow-update { none; };
};

关防火墙的命令 service iptables stop
        systemctl stop firewalld
排错思路
1.重启服务看报错
2.看日志
 1)/var/log/messages   -->tail -f messages    去重启服务,看重启服务过程当中出了什么问题
 2) /var/named/data/named.run 程序的日志.
3.权限
  1) 程序权限
  2) ugo权限
  3) selinux权限  -->通过分析selinux的日志来获取相应的信息.使用sealert工具分析
setsebool -P named_write_master_zones 1 

 

ntp
1.作用:同步时间.
2.原理:分层式结构.
3.软件:el6:ntp
       el7:chrony
4.el6主配置文件  /etc/ntp.conf
restrict 172.25.0.0 mask 255.255.255.0 -->允许谁来和我做同步
server 172.25.0.10  -->我要找谁做同步

特殊的表达方式 127.127.1.0 代表的是本地系统时间.
和本地时间同步,指定层数的方式:
server 127.127.1.0 fudge
127.127.1.0 stratum 10

在客户端上,使用ntpdate -u 172.25.0.11来同步时间
当我们重启ntp服务后,需要等5-10分钟才能够被同步成功.
5. el7 主配置文件 /etc/chrony.conf
allow 172.25.0/24  --> 允许谁来和我做同步
server      -->和谁做同步

和本地时间做同步,指定层数的方式
server 172.25.0.10
local stratum 10
在客户端上,使用ntpdate -u 172.25.0.10来和服务端做同步
6.启服务
el6 service ntpd restart
el7 systemctl restart chronyd.service

 

ftp
1.作用:共享文件
2.软件 vsftpd
3.工作原理:
主动模式: 服务端21号端口处理链接请求,通过20号端口向客户端传输数据.
被动模式: 服务端通过21端口处理链接请求,随后开启一个随即端口号通知客户端从该端口号获取数据.
4.vsftpd支持的用户类型:匿名用户和本地用户
匿名用户:在ftp服务器中没有指定账户,但是能访问ftp服务器相应资源的用户.
本地用户:/etc/passwd用户
5.vsftpd结构
   1) 主配置文件/etc/vsftpd/vsftpd.conf
   2) 数据文件 /var/ftp/pub 目录
6.访问方式
   1) 匿名访问  [1] 浏览器ftp://172.25.0.11/pub/
           lftp工具  -->对应的软件名:lftp
           [2] lftp ip地址  
[[email protected] ~]# lftp 172.25.0.11
lftp 172.25.0.11:~> ls              
drwxr-xr-x    2 0        0            4096 Jan 06 06:43 pub
lftp 172.25.0.11:/> cd pub/
lftp 172.25.0.11:/pub> ls
-rw-r--r--    1 0        0               0 Jan 06 06:43 file1
-rw-r--r--    1 0        0               0 Jan 06 06:43 file10
-rw-r--r--    1 0        0               0 Jan 06 06:43 file2
-rw-r--r--    1 0        0               0 Jan 06 06:43 file3
-rw-r--r--    1 0        0               0 Jan 06 06:43 file4
-rw-r--r--    1 0        0               0 Jan 06 06:43 file5
-rw-r--r--    1 0        0               0 Jan 06 06:43 file6
-rw-r--r--    1 0        0               0 Jan 06 06:43 file7
-rw-r--r--    1 0        0               0 Jan 06 06:43 file8
-rw-r--r--    1 0        0               0 Jan 06 06:43 file9
lftp 172.25.0.11:/pub> exit
   2) 本地用户访问 lftp工具:
          对于本地用户来说,它的共享目录是他的家目录.
    lftp [email protected]172.25.0.11 
[[email protected] ~]# lftp [email protected]172.25.0.11
Password: 
lftp [email protected]172.25.0.11:~> ls     
ls: Login failed: 500 OOPS: cannot change directory:/home/testuser
lftp [email protected]172.25.0.11:~> 

读取不到家目录下文件的原因是selinux造成的
需要打开setsebool -P ftp_home_dir 1

7.下载
    lftp登陆以后,使用get去下载
 lftp 172.25.0.11:/pub> get file1
 下载的位置是在你当前位置.

8.上传
 本地用户的上传:  lftp 登陆以后,使用put去上传
lftp [email protected]172.25.0.11:~> put testuserfile 
    可以通过绝对路径上传我们当前位置所在目录下的文件
 匿名用户的上传:
   1) 程序限制 
vim /etc/vsftpd/vsftpd.conf
打开anon_upload_enable=YES 
   2) UGO   给ftp用户进入目录所用的rwx权限.
   3) selinux权限
 semanage fcontext -a -t public_content_rw_t pub   -->注意路径  /var/ftp/pub
 restorecon -R -v pub                              -->针对的是  /var/ftp/pub
 setsebool -P allow_ftpd_anon_write 1
9.黑白名单
黑名单:/etc/vsftpd/ftpusers

在主配置文件里面有一行参数:userlist_enable=YES
如果参数是YES,则代表/etc/vsftpd/user_list是黑名单.
如果参数是NO,则代表/etc/vsftpd/user_list是白名单.
如果没有该行配置,默认参数是NO.  
man 5 vsftpd.conf

 

以上是关于零基础学习云计算及大数据DBA集群架构师Linux系统网络服务及安全配置2015年1月4日周一的主要内容,如果未能解决你的问题,请参考以下文章

零基础学习云计算及大数据DBA集群架构师Linux系统配置及网络配置2015年12月28日周一

零基础学习云计算及大数据DBA集群架构师Linux系统环境及权限管理2015年12月24日周四

零基础学习云计算及大数据DBA集群架构师Linux系统网络服务及安全配置1.4-1.8

零基础学习云计算及大数据DBA集群架构师Linux系统环境及权限管理2015年12月25日周五

零基础学习云计算及大数据DBA集群架构师Linux系统配置及网络配置2015年12月30日周三

零基础学习云计算及大数据DBA集群架构师Linux系统配置及网络配置2015年12月31日周四