1 / 51

ITEC280

LINUX 操作系统. ITEC280. —— 实践是检验真理的唯一标准 ——. 2013.12.11. IDC 公司技术部业绩表. 统计于 2013.12.10. 知识回顾. PPTP : 点对点隧道协议 (Point to Point Tunneling Protocol ) 该协议是在 PPP 协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网( VPN ),可以通过密码身份验证协议( PAP )、可扩展身份验证协议( EAP )等方法增强安全性。可以使远程用户通过拨入 ISP 、通过直接连接 Internet 或其他网络安全地访问企业网。.

udell
Download Presentation

ITEC280

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LINUX操作系统 ITEC280 —— 实践是检验真理的唯一标准 —— 2013.12.11

  2. IDC公司技术部业绩表 统计于2013.12.10

  3. 知识回顾 • PPTP:点对点隧道协议(Point to Point Tunneling Protocol) • 该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

  4. 知识回顾 • 准备工作 • 服务器IP:外网192.168.16.199,内网192.168.76.1 • 检测服务器是否支持: • modprobe ppp-compress-18 && echo ok 输出ok为通过测试 • cat /dev/net/tun 如果这条指令显示结果为下面的文本,则表明通过:cat: /dev/net/tun: File descriptor in bad state

  5. 知识回顾 • pptpd服务 • https://code.google.com/p/acelnmp/ • 准确网址: • https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • 下载方式 • wget https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • pptpd安装 • rpm –ivh pptpd-1.3.4-2.rhel5.i386.rpm

  6. 知识回顾 • 编辑配置文件/etc/pptpd.conf,修改如下: • localip 192.168.76.1 服务器地址 • remoteip 192.168.76.100-150 远程终端分配的地址区间 • 编辑配置文件/etc/ppp/options.pptpd,修改如下: • idle 36000 超时断开 • ms-dns 192.168.100.1 使用DNS • 编辑/etc/ppp/chap-secrets ,设置账号密码: • 按照“用户名 pptpd密码 *”的形式编写,一行一个。 • 比如:test pptpd 1234 *

  7. 知识回顾 • 设置内核转发 • 编辑/etc/sysctl.conf文件,并使之生效。 • 设置防火墙: • 清空防火墙配置 • 设置默认INPUT、OUTPUT、FORWARD均为ACCEPT策略 • 设置DNAT伪装,使内网可以访问外网。 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE • 保存防火墙配置并重启防火墙配置 • 启动pptpd服务并设置开机启动 • service pptpd start • chkconfig pptpd on

  8. 知识回顾 • 在windows下创建vpn客户连接: • 新建网络连接 • 连接到我的工作场所的网络 • 虚拟专用网络连接 • vpn服务器地址192.168.76.1 • 输入账号密码。连接 • 客户机测试: • ping 192.168.76.1 • 访问http://lenj.itd.8866.org/linux/ip.asp

  9. 公司业绩盘点暨年终总结篇 —— 实践是检验真理的唯一标准 —— 2013.12.11

  10. 课程总结 • 课程名称:《ITEC280LINUX操作系统》 • 学 时:52 • 学 分:3 • 考核方式:考查 • 开课学期:2013-2014学年第一学期 • 参考教材:《构建高可用LINUX服务器》余洪春 著 • 开课班级:11级网专 • 主讲教师:刘恩甲 • 上课信息:周三5-6节(E706) • 上机信息:周三7-8节(E607)

  11. 年终业绩计算方法 经理分配教师审核 每周公布分数累计转为80分的标准分 课堂表现灵活加分 根据作业量及难度掌握权重

  12. 公司各技术部目前业绩表 统计于2013.12.10

  13. 课程总结 • 英文全称:community enterprise operating system • 中文全称:社区企业操作系统 • 目前CentOS系统以其稳定性和安全性和免费开源等优势在中国国内非常受欢迎。 • 官方网址:http://www.centos.org/ • 中文技术站:http://www.centoscn.com/

  14. 课程总结 • 服务器状态监控 • 查看服务器进程 • ps –aux top kill • 查看服务器网络 • 查看网卡:Lspci |grep Ether • 主机名:hostname vim /etc/sysconfig/network • Hosts文件:vim /etc/hosts • 网络连接:ifconfig –a • 连通测试:ping • 连接状态:netstat –a • 路由查询:route –n netstat -r

  15. 课程总结 • 服务器状态监控 • 查看服务器资源情况 • CPU: cat /proc/cpuinfo • 内存: free –m • 分区: fdisk –l • 空间: df –h • 目录占用:du –sh /xxx • PCI设备:lspci • 查看服务器负载 • uptime 过去的1分钟、5分钟、15分钟内进程队列中的平均进程数量 • <3(良好) <4(尚可) >5(负载过重)

  16. 课程总结 • 查看服务器日志 • cat /var/log/messages 系统日志 • cat /var/log/secure 安全日志 • cat /var/log/wtmp登录者日志(二进制) last • cat /var/log/lastlog登录时间 • 其他软件专用日志。如/var/log/httpd/ (apache日志) • 部署apache网页发布与PHP支持 • yum install –y httpd安装apache • yum install –y php-* 安装php • yum的使用: -y(默认使用Y)参数:install remove update • 服务启动:service httpd start • Windows下的压力测试:ab –n 200 –c 100 http://xxxx/index.html

  17. 课程总结 • Apache作为服务启动 • chkconfig –list 查看开机启动清单 • chkconfighttpd on 设置启动 • init介绍 • 0 – 关机 • 1 – 单用户模式 • 2 – 多用户,没有 NFS • 3 – 完全多用户模式(标准的运行级) • 4 – 安全模式 • 5 – 桌面模式 • 6 – 重新启动

  18. 课程总结

  19. 课程总结 • 局域网与广域网 • 私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。 • 私有网络预留出了三个IP 地址块,如下: • A 类:10.0.0.0~10.255.255.255 • B 类:172.16.0.0~172.31.255.255 • C 类:192.168.0.0~192.168.255.255 • 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。

  20. 课程总结 • NAT地址转换 网络地址转换(Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。

  21. 课程总结 • NAT主机设置 • 1.配置IP地址与网关 • 2.打开包转发功能:echo “1” > /proc/sys/net/ipv4/ip_forward或者修改/etc/sysctl.conf文件,让包转发功能在系统启动时自动生效: net.ipv4.ip_forward = 1 (注:执行sysctl –p可手动生效)3.打开iptables的NAT功能:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE说明:eth0是连接外网或者连接Internet的网卡 • 4.保存iptables的规则: • service iptables save • service iptables restart

  22. 课程总结 • centos默认安装了samba服务器程序 • service smb start 启动 • yum install smb 更新 • chkconfig smb on 设置为开机启动项 • samba配置 • /etc/samba/smb.conf 主要配置文件位置 • smbpasswd –a root 增加root用户到samba并修改密码 • smb.conf详细配置参考: http://linux.chinaunix.net/techdoc/system/2006/02/14/927715.shtml http://linux.chinaunix.net/techdoc/system/2009/07/03/1121535.shtml

  23. 课程总结 • smb.conf文件中[global]全局配置,是必段写的 • workgroup 就是Windows中显示的工作组,注意大小写; • netbios name 就是在Windows中显示出来的计算机名; • server string 就是Samba服务器说明,可以自己来定义; • security 这是验证和登录方式; • smb.conf文件中[mydir] 共享的目录 [home]指的是用户主目录 • path = 可以设置要共享的目录放在哪里; • writeable 是否可写,这里我设置为可写; • browseable是否可以浏览,可以;可以浏览意味着,我们在工作组下能看到共享文件夹。如果您不想显示出来,那就设置为 browseable=no • guest ok 匿名用户以guest身份是登录;

  24. 课程总结 • centos默认安装了vsftpd服务器程序 • service vsftpd start 启动 • yum install vsftpd 更新 • chkconfig vsftpd on 设置为开机启动项 • vsftpd配置 • /etc/vsftpd/vsftpd.conf 主要配置文件位置 • adduser -d /home/user1 -g ftp -s /sbin/nologin user1 • 增加user1用户,绑定到/home/user1目录,属于用户组ftp,禁止登陆 • vsftpd.conf详细配置参考: • http://www.linuxidc.com/Linux/2011-12/49985.htm

  25. 课程总结 • 权限叠加

  26. 课程总结 • centos默认安装了nfs服务器程序 • service portmap start • service nfs start启动 • NFS配置 • /etc/exports 主要配置文件位置 • /data 192.168.3.*(rw,no_root_squash,no_all_squash,sync) • 增加/data目录共享,允许192.168.3.0网段访问,可读写,同步写入硬盘 • exports详细配置参考: • http://blog.csdn.net/xph23/article/details/6001471

  27. 课程总结 • NFS的挂载与卸载 • mount -t nfs 192.168.3.135:/data /mydir挂载 • umount /mydir卸载 • df –h 查看分区 • mount 查看挂载 • 挂载远程windows目录 • mount -t cifs -o username=user,password=123456 192.168.3.135:files /mnt/share 挂载 • umount /mydir启动 • df –h 查看分区 • mount 查看挂载

  28. 课程总结 • 集群技术

  29. 课程总结 • 主机规划

  30. 课程总结 • 部署准备工作 • 安装centos,设定IP地址、主机名。 • 关闭防火墙与selinux • 在server1、server2上修改/etc/hosts文件,修改两行: • service netwrok restart 重启网络 • 检查配置,互相ping对方主机名,确认通畅。 • 192.168.16.197 s1 • 192.168.16.198 s2

  31. 课程总结 • 部署准备工作 • 部署server3上的NFS服务 • mkdir /wwwroot 创建目录 • 修改/etc/exports文件,增加一行: • service portmap start • service nfs start • /wwwroot 192.168.16.197(rw,no_root_squash,no_all_squash,sync) 192.168.16.198(rw,no_root_squash,no_all_squash,sync)

  32. 课程总结 • 在s1上部署luci与ricci • yum install -y luci安装luci • luci_admin init 设置集群web管理端admin的密码 • service luci restart 重启luci • yum install -y ricci安装ricci • service ricci start • service cman start (如有必要执行) • service rgmanager start (如有必要执行) • 在s2上部署ricci • yum install ricci安装ricci • service ricci start

  33. 课程总结 • 创建cluster • 测试机上访问https://192.168.16.197:8084账户:admin 密码: • 在cluster菜单中,create a new cluster。新建集群web_cluster,将s1、s2加入 • 新建故障转移集群web_cluster • 新建IP资源、脚本资源、NFS资源 • 新建故障转移服务并将上诉三个资源加入 • 新建Fence Device栅设备 详细教程:cluster+httpd+NFS.doc 参考教程: http://369369.blog.51cto.com/319630/836001

  34. 课程总结 • 防火墙: 防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

  35. 课程总结 • 过滤链路优先图

  36. 课程总结 • Iptables常用语法 • 查看规则iptables –L -n • 清除规则 • iptables –F(清除预设表filter中的所有规则链的规则) • iptables –X(清除预设表filter中使用者自定链中的规则) • 定义默认规则 • iptables -P INPUT DROP (注意大写) • iptables -P OUTPUT ACCEPT • iptables -P FORWARD DROP • 添加规则iptables –A INPUT –p tcp ––dport 80 –j ACCEPT(放行80端口) • 保存规则 • /etc/rc.d/init.d/iptables save

  37. 课程总结 • iptables的命令格式较为复杂,一般的格式如下: iptables [-t table] 命令 [chain] [rules] [-j target]table——指定表明命令——对链的操作命令 chain——链名 rules——规则 target——动作如何进行

  38. 课程总结 • 表选项表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。 • 命令选项 命令                     说明 -P或–policy  <链名>     定义默认策略-L或–list  <链名>     查看iptables规则列表-A或—append  <链名>    在规则列表的最后增加1条规则-I或–insert  <链名>     在指定的位置插入1条规则-D或–delete  <链名>     从规则列表中删除1条规则-R或–replace  <链名>    替换规则列表中的某条规则-F或–flush  <链名>     删除表中所有规则-Z或–zero  <链名>     将表中数据包计数器和流量计数器归零

  39. 课程总结 • 匹配选项匹配                                     说明-i或–in-interface  <网络接口名>指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等-o或–out-interface  <网络接口名>指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等-p或—proto协议类型  < 协议类型>指定数据包匹配的协议,如TCP、UDP和ICMP等-s或–source<源地址或子网>指定数据包匹配的源地址–sport <源端口号>指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口-d或–destination  <目标地址或子网>指定数据包匹配的目标地址–dport目标端口号指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

  40. 课程总结 • 动作选项动作        说明ACCEPT接受数据包DROP丢弃数据包REDIRECT与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。SNAT源地址转换,即改变数据包的源地址DNAT目标地址转换,即改变数据包的目的地址MASQUERADE IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNATLOG日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错

  41. 课程总结 • PPTP:点对点隧道协议(Point to Point Tunneling Protocol) • 该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

  42. 课程总结 • 准备工作 • 服务器IP:外网192.168.16.199,内网192.168.76.1 • 检测服务器是否支持: • modprobe ppp-compress-18 && echo ok 输出ok为通过测试 • cat /dev/net/tun 如果这条指令显示结果为下面的文本,则表明通过:cat: /dev/net/tun: File descriptor in bad state

  43. 课程总结 • pptpd服务 • https://code.google.com/p/acelnmp/ • 准确网址: • https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • 下载方式 • wget https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • pptpd安装 • rpm –ivh pptpd-1.3.4-2.rhel5.i386.rpm

  44. 课程总结 • 编辑配置文件/etc/pptpd.conf,修改如下: • localip 192.168.76.1 服务器地址 • remoteip 192.168.76.100-150 远程终端分配的地址区间 • 编辑配置文件/etc/ppp/options.pptpd,修改如下: • idle 36000 超时断开 • ms-dns 192.168.100.1 使用DNS • 编辑/etc/ppp/chap-secrets ,设置账号密码: • 按照“用户名 pptpd密码 *”的形式编写,一行一个。 • 比如:test pptpd 1234 *

  45. 课程总结 • 设置内核转发 • 编辑/etc/sysctl.conf文件,并使之生效。 • 设置防火墙: • 清空防火墙配置 • 设置默认INPUT、OUTPUT、FORWARD均为ACCEPT策略 • 设置DNAT伪装,使内网可以访问外网。 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE • 保存防火墙配置并重启防火墙配置 • 启动pptpd服务并设置开机启动 • service pptpd start • chkconfig pptpd on

  46. 课程总结 • 在windows下创建vpn客户连接: • 新建网络连接 • 连接到我的工作场所的网络 • 虚拟专用网络连接 • vpn服务器地址192.168.76.1 • 输入账号密码。连接 • 客户机测试: • ping 192.168.76.1 • 访问http://lenj.itd.8866.org/linux/ip.asp

  47. 课程总结 • 防火墙相关几个重要的文件及路径 • /etc/rc.d/init.d/iptables 可执行save操作 • /etc/sysconfig/iptables save后记录有防火墙规则的文件 • /proc/sys/net/ipv4/ip_forward 内容为0或者1,代表是否进行转发数据 • /etc/sysctl.conf 内有net.ipv4.ip_forward = 1 ,通过初始化 network可以影响p_forward中的值

  48. 课程总结 • 注意事项: • 虚拟机的网络设置为桥接 • 桥接与NAT • 确认关闭防火墙或作出正确设置 • 网络IP地址的设置与生效 • 网络不通的检测与修复 • ifconfig ping • 服务的启动与重启 • service xxxx [start|stop|restart]

  49. 课程总结 • 注意事项: • pwd 注意相对路径与绝对路径 • Iptables的开启、关闭与保存 • 查看路由:route –n netstat –rn • 局域网网段ip规划与网关设置 • iptable指令中的大小写 • VI编辑器 • 插入模式 「i」 「a」 「o」 「esc」键退出插入模式 • : w filename 存盘 : wq 存盘并退出 • : q! 不存盘退出

  50. 上机任务 • 针对本课程第六讲~第十二讲中上机练习任务中,如有未能全部完成或按时提交的作业。同学可利用本次上机时间挑选其中一次作业内容,温习该堂教学内容并重新练习操作。 • 没有疑问的其他同学可自由练习。 • 下课之前进行补交,根据补交情况折算50%分值后计入本人个人平时成绩。补交的作业不再计入小组考核成绩。 所有补交作业请注明“第几讲”、“姓名学号”,下课之前打包交至 sishang206@qq.com。过期再发送的作业不再接收。

More Related