Linux操作系统8 服务器.docx

资源描述

Linux操作系统8 服务器.docx

《Linux操作系统8 服务器.docx》由会员分享，可在线阅读，更多相关《Linux操作系统8 服务器.docx（35页珍藏版）》请在冰豆网上搜索。

Linux操作系统8 服务器.docx

Linux操作系统8服务器

Linux操作系统8服务器.txt我这辈子只有两件事不会：

这也不会，那也不会。

人家有的是背景，而我有的是背影。

肉的理想，白菜的命。

白马啊你死去哪了！

是不是你把王子弄丢了不敢来见我了。

本文由夏目洛晞贡献

ppt文档可能在WAP端浏览体验不佳。

建议您优先选择TXT，或下载源文件到本机查看。

Linux操作系统

用Linux构建Intranet

liups

内容提要

Apache服务器的安装与设置FTP服务器的安装与设置DHCP服务器的安装与设置DNS服务器的安装与设置邮件服务器的安装与设置Linux下NAT服务器简介

DNS服务器

域名的介绍BIND的介绍

（BerkeleyInternetNameDomain）,当前有三版:

bind4、bind8、bind9），支持多处理器、线程安全操作、公钥加密、IPv6支持、增量区传送等）

BIND

BIND的组成：

named守护进程，回答用户查询库例程，联系DNS分布式数据库的服务器DNS的命令接口：

nslookup、dig和host

BIND

BIND名字服务器的分类:

权威：

一个区的正式代表主服务器：

主服务器：

区数据的首要服务器，数据在磁盘从服务器：

从服务器：

从主服务器复制得到它的数据存根：

存根：

和从服务器类似，但仅复制名字服务器的数据分支：

分支：

仅在域内可见的服务器（秘密服务器）非权威：

非权威：

用缓存数据回答查询：

未知数据有效缓存：

缓存：

缓存以前的查询：

没有本地区转发器：

代替许多客户机执行查询，创建一个大的缓存转发器：

递归：

代替您查询，直到返回答案或出错非递归：

非递归：

如果不能回答查询，则返回下一服务器地址

BIND

解板库例程：

客户机例程：

gethostbyname轻量级例程：

lwresd（对不支持IPv6的主机可以使用，要在服务器中包含lwres语句）

BIND

非/递归工作原理：

例：

访问：

2-Q3-R

wtb1-Q9-AQ=QueryA=AnswerR=推荐7-R8-Q10-Aroot（“.”）com

4-Q

5-R6-Q

BIND

缓存和效率:

早期缓存机制仅用于肯定回答，但实验发现DNSDNS查询请求有60%都是无效查询，因此后来60%实现了否定缓存

BIND

解析器配置：

/etc/resolv.conf

search:

列出了如果主机名不完整时要查询的域如：

search..wtb.org.注：

此文件中的DNS服务器地址必须是递归的（解析器不懂推荐）最多，可配置三个DNS地址，按顺序访问

BIND

下载安装BIND：

www.isc.org（最新版BIND需openssl0.9.6e以上版本，在www.openssl.org下载最新版安装）

BIND

主配置文件：

/etc/named.conf区文件目录：

/var/named/区文件：

named.ca//根服务器信息，在named.local//本地反向区域localhost.zone//本地区域

BIND—localhost.zone

$TTL86400$ORIGINlocalhost.@1DINSOA423H15M1W1D）1DINNS1DINA

@root（;serial（d.adams）;refresh;retry;expiry;minimum

@127.0.0.1

BIND—named.local

$TTL86400@INSOA（localhost.root.localhost.1997022700;Serial28800;Refresh14400;Retry3600000;Expire86400）;Minimumlocalhost.localhost.

IN1IN

NSPTR

BIND—/etc/named.conf

注：

1、每句以分号结束2、大括号用于分组3、可用：

named-checkconf和namedcheckzone检查语法错误

BIND—主配置语句类型

include:

插入一个文件options:

设置名字服务器的全局配置选项和默认值server:

指定每个服务器所特有的选项lwres:

将DNS也配置成一个轻量级解析器key:

定义验证信息acl：

定义访问控制列表zone:

定义资源记录的一个区trusted-keys:

定义预先设置的密钥controls:

用ndc来定义用于控制名BIND的渠道logging:

指定日志记录分类及其目的位置view:

定义域名空间的一个veiw（视图）

BIND

include:

补充文件引入named.conf文件

include"path";

options：

指定全局选项,仅有一个

9.0版本有50个左右的选项，以下是常用选项：

version"string";[实际版本号]directory"path";[启动目录]notifyyes|no;[yes]:

数据发生改变，通知从服务器also-notifyservers_ipaddrs;[empty]

通知所有DNS服务器

BIND-options语句

recursionyes|no;[yes]:

递归/非递归解析allow-recursion{address_list}[allhost}允许的主机transfer-formatone-answer|many-answers;

主服务器到从服务器一次传输的记录数

transfers-innumber;[10]同时发生入站区传送数目transfers-outnumber;[10]同时发生出站区传送数目transfers-per-nsnumber;[2]每个站点最大数目transfer-sourceIP-address;允许的源IP地址（需和allow中定

义的相同）

BIND-options语句

listen-onportip_portaddress_list[53all]query-sourceaddressip_addrportip_port

查询其它名字服务器的接口和端口（用于有防火墙中）

forwarders{in_addr;in_addr;……};[emptylist]

转发服务器列表

forwardonly|first;

[first]

转发方式，仅转发|先转发，不行再自己查询,转发服务器中有大容易的内存，用于缓存注：

转发区域必须是递归

BIND-options语句

allow-query{address_list};[allhosts]

可以查询的主机

allow-transfer{address_list};[allhosts]

可以请求传输区数据的主机

blackhole{address_list};[empty]

从不希望与之通信的主机

BIND-acl语句

aclacl_name{address_list};

除also-notify语句外，其它地方都可使用必须在named.conf中定义必须在使用前定义默认定义：

any、localnets、localhost、none

BIND—server语句

serverip_addr{

bogusyes|no;[no]:

伪服务器provide-ixfryes|no;[yes（v9）]:

发送增量区数据（主服务器）request-ixfryes|no:

[yes（v9）]:

请求增量区数据（从服务器）support-ixfryes|no;[no（v8）]:

同上ednsyes|no;[yes]:

extendDNS协议transfersnumber;[2（v9）]:

并发传数量transfer-formatone-answer|many-answers;:

支持格式keys{key-id;key-id;……};:

key中定义的密钥ID}

BIND--logging语句

术语:

channel（通道）:

消息能去的地方:

syslog或文件category（类别）：

named消息类型module（模块）：

产生消息的来源模块名facility（设备）：

syslog设备名severity（严重性）：

出错消息的等级

logging语法：

logging{[channelchannel_name{（filepath_name

BIND--logging语句

[severity（critical|error|warning|notice|info|debug[level]|dynamic）;][print-categoryyes_or_no;][print-severityyes_or_no;][print-timeyes_or_no;]};]

category{模块名}};

模块：

xfer-in：

区传送default：

默认security：

安全os:

系统panic:

恐慌statistics：

统计信息config：

配置文件maintenance：

维护

BIND—zone语句

定义权威性的区域装载根服务器地址和名称一、配置主服务器

zone"domain_name"{

typemaster;file"path";allow-query{address_list};[all]allow-transfer{address_list};[all]allow-update{addres_list};[none]:

动态更新、联系DHCP（限本地网络使用）zone-statisticsyes|no[no]:

保留统计信息};

BIND—zone语句

二、从服务器配置

zone"domain_name"{

typeslave|stub;:

stub:

只传送NS记录（即存根）file"path";：

从主服务器传来的区数据masters{ip_addr;ip_addr;……};[nodefault]：

主服务器地址（主服务器有多个网络接口时）allow-query{address_list};[all]allow-transfer{address_list};[all]};

BIND—zone语句

三、设置根服务器的线索

zone"."{

typehint;file"path";};

named由此“线索”查找其它域的信息，否则只能维护本域

四、设置一个转发区

zone"domain_name"{

typeforward;forwardonly|first;forwarders{ip_addr;ip_addr;..};};

实现一个对外部不可见的DNS

BIND—key语句

key语句：

定义用于某个特定服务器身份验证的有名字的加密密钥。

keykey-id{

algorithmstring;secretstring;};必须在named.conf中先定义方可使用于某个服务器关联时，只要在该服务器的server中的keys中包括此key_id;用于验证来自那个服务器的请求，又用来对那些请求的响应作签名

BIND-controls语句

定义rndc如何控制一个正在运行的named进程controls{

inetip_addrportallow{addres_list}keys{key_list};};默认端口号是：

953rndc-confgen–b256//会产生密钥方法一：

可让named和rndc都参考同一个配置文件方法二：

把产生结果分别写入/etc/rndc.key和/etc/named.conf，此方法用于rndc和dns不在一个主机

BIND—splitDNS和view（仅v9）

分隔DNS对不同的网络的可视程度下表是对内外服务配置的差别参数外部内部directory/var/named/external/var/named/internallisten-on外部接口内部接口recursionnoyesallow-queryany仅内部网forward不用forwardonlyforwardersexternal_ns

BIND—splitDNS和view（仅v9）

viewview-name{

match-clients{address_list};：

控制谁能看到view_option;……zone_statement;……};

view是按顺序来处理，所以先加上最严格的限制view是全无全有的概念，即要么全加要么都不加

BIND—DNS数据库

一、资源记录

格式:

[name][ttl][class]typedata特殊字符：

；：

引入注释@：

当前的域名（）：

允许数据跨行*：

通配符（仅由named字段使用）

name:

表示该记录所描述的实体（一个主机或域），如果几个连续的记录涉及同一个实体，则第一条记录之后可以省略这个名字。

可以用相对名或全名，全名后要加"."ttl:

存活时间，以秒为单位。

默认以开头的$TTL设置的值class:

指定网络类型：

IN对应internet,CH对应chaosNet,HS对应Hesiod

BIND—DNS数据库

类型名称

StartOfAuthority

功能

定义一个DNS区标识区服务器，授权子域名字到地址的转换被丢弃又被重用

名字到ipv6地址的转换（仅bind9有）

区记录基本记录

SOANSA

AAAA

NameServer

IPv4Addressoriginalipv6address

A6PTR

DNAME

IPv6PointerRedirectionMailExchangerPublicKeyNextSignatureCanonicalName

LocationServicesText

地址到名字转换

对反向ipv6查询的重定向控制邮件的路由DNS名称的公钥和DNSSEC一直使用，否定回答带签名、经过身份验证的区主机的昵称或者别名

地理位置和范围提供常见服务的位置

安全记录

KEYNXTSIG

可选记录

CNAME

LOCSRVTXT

SOA记录

@INSOA..（

20041101;序列号7200;刷新时间（2h）1800;重试时间（30m）604800;终止时间（1w）7200）;否定缓存存活时间（2h）@:

名字,可以用$ORIGIN设置;IN:

类别;SOA:

记录类型,"."是该区的主名字服务器,"."是管理员邮件地址。

20041101:

是序列号7200:

指定从服务器应该多长时间联系主服务器,1-6小时为合适值1800:

多长时间后再重试604800;很长时间重试还是无效时则终止重试7200:

被缓存的否定回答的存活时间

BIND—NS记录

NS:

记录标识一个区的权威服务器，通常跟在SOA后面例：

.INNS.INNS.INNS.

每个权威名字服务器应该既要在的区文件中列出,也要在父区com的文件中列出。

仅缓存服务器不能是权威的，不用列出它们。

在这中不指定主/从服务器。

BIND—其它记录

A记录：

记录DNS数据库的核心，定义一个主机名到IP地址的对应hostname[ttl]INAipaddr

PTR记录:

执行从IP地址到主机名的反向映射。

addr[ttl]INPTRhostname

BIND—其它记录

MX记录：

定义邮件服务器

name[ttl]INMXpreferencehost……

CNAME记录:

为主机多分配几个名字

nickname[ttl]INCNAMEhostname注：

如果一个主机有别名，在引用时不能使用

LOC记录：

描述DNS对象的物理位置和大小，但不汲及技术操作。

name[ttl]INLOClatlon[alt[size[hp[vp]]]]

BIND—其它记录

SRV记录：

指定域内服务的位置

service.proto.name[ttl]INSRVpriwtporttargetservice:

标准互联网服务名称（www.iana.org/numbers.htm可查看）proto:

不是tcp就是udpname:

SRV记录引用的域pri:

是MX风格的优先级wt:

是用于几个服务器这间平衡负载的权重（为0表示不需负载平衡）port:

是服务器服务的端口号target:

目标服务器主机（为.表示禁止此服务）

BIND—其它记录

TXT记录：

引入一段说明在DNS记录中

BIND—区文件中的命令

$ORIGINdomain-name：

定义域名$INCLUDEfilename:

包含文件$TTLdefault-ttl（必须存在）:

默认存活时间$GENERATElots-of-args:

成组生成对应

注：

命令必须从第一列开始。

整个命令要在一行

BIND-粘合记录

在父DNS服务器中添加子DNS服务器中的A记录。

以便于在父服务器中设置子域的DNS服务器，.INNS..INNS.INA218.22.1.132INA218.22.1.138

BIND-区传送

一、AXFR

传送整个区数据

二、IXFR

只传送少量变更的数据

provide-ixfryes;//在服务器主区域设置，允许此方式发送request-ixfrno:

//在服务器从区域设置，允许此方式接受

注：

IXFR只能用在全自动更新的区域

BIND-动态更新

DHCP的配置:

1.‘ddns-update-style’这个就是动态DNS的更新方式，有几个选项，我用的是interim，可以用mandhcpd.conf找到另外的几个选项。

2.‘ignoreclient-updates’这个选项是不允许客户机更新DNS记录。

当然，也可能允许，但会有一点问题。

3.‘keyDHCP_UPDATER’这个是更新DNS的KEY，是必须的。

其中algorithm后的是生成key的算法，key的生成是用‘dnssec-keygen-aHMAC-MD5-b128-nUSERDHCP_UPDATER’。

4.‘zone’要更新的zone，如果是本机就是DNSserver，primay就写127.0.0.1，要是其它机器是DNSserver,就写那台机器的IP。

zone.{primary127.0.0.1;keyDHCP_UPDATER;}zone251.168.192.in-addr.arpa.{primary127.0.0.1;keyDHCP_UPDATER;}

BIND-动态更新

named.conf的配置:

keyDHCP_UPDATER{algorithmHMAC-MD5;secretqhB++OR5yWo8BTXwk/m4ng;};//必须和dhcp中一样。

zone""IN{typemaster;file"";allow-update{keyDHCP_UPDATER;};};

BIND--rndc

status:

状态报告stop：

停止named,保存没做完的更新halt:

中止named,不保存没做完的更新dumpdb:

把DNS数据库转储到named_dump.db中stats:

把统计转储到named.statsflush:

刷新服务器的缓存reload:

重新载入named.conf和区文件reloadzone:

只重新载入指定的区reconfig:

重新载入配置文件和任何新的区querylog:

开关对查询的日志功能

BIND-DDNS

vi/etc/dhcpd.conf

ddns-update-styleinterim;ignoreclient-updates;key"rndc-key1"{algorithmHMAC-MD5;secret"koWQcX9XbbyzuzeUi0dK0QKmmZtN4L8PjtY4NP3CkOM=";};zone.{primary127.0.0.1;keyrndc-key1;}

vi/etc/named.conf

key"rndc-key1"{algorithmHMAC-MD5;secret"koWQcX9XbbyzuzeUi0dK0QKmmZtN4L8PjtY4NP3CkOM=";};zone""{typemaster;file".zone";allow-update{keyrndc-key1;};};

注：

尽量不要手工修改区域文件，以免冲突而引起named库破坏

BIND-制作自己的”根”服务器

一、自己分发根“线索”文件中只有你DNS服务器的“线

展开阅读全文