linux项目实践.docx

linux项目实践.docx

《linux项目实践.docx》由会员分享，可在线阅读，更多相关《linux项目实践.docx（65页珍藏版）》请在冰豆网上搜索。

linux项目实践

一．PXE无人职守安装2011年8月24日

安装简介

1．无人职守安装（预执行环境），将手动过程写入程序。

2．所需服务：

（1）DHCP给客户端分配地址，告诉客户端去那里寻找启动文件

vmlinz内核

init.img镜像文件

pxelinux.0

default

（2）tftp共享客户端应用中所需的文件

default（启动文件的配置文件→告诉去那里找自应答文件和要安装的软件包->nfs）

（3）NFS/MNTks.cfg

（4）生成ks.cfg（自应答文件）

生成自应答文件要装的包system-config-kickstart

（5）在BOIS把客户端的启动方式设置为网络方式启动

安装步骤

1.DHCP服务器的配置

#vim/etc/dhcpd.conf手动添加

filename“pxelinux.0”；

next-server192.168.1.115;tftp服务器的地址

作用域与DHCP在一个网段

服务起不来时用dhcpd命令检查/etc/dhcpd.conf

2．配置tftp服务器

＃rpm-qtftp-server（xinetd）

#vim/etc/xinetd.d/tftp

disable=no

＃servicexinetdstart

＃chkconfigxinetdon

#cat/etc/services|greptftp查看端口是否开启

#lsof-i:

69看端口是否启动

#netstat-utnlp

3.共享资源存放的目录/tftpboot

4．安装引导文件

（1）装包rpmsyslinux

#rpm-qlsyslinux|grep“pxelinux.0”看路径

把出现的路径下的文件考到／tftpboot下面

（2）vmlinz内核，init.img镜像文件

#cd/挂载光盘的目录/images/pxeboot拷initrd.imgvmlinuz到/tftpboot下面

（3）安装引导的配置文件

＃cd/tftpboot

#mkdirpxelinux.cfg存放default

＃cd/挂载光盘的目录／isolinux（配置文件的模板）

#cpisolinux.cfg/tftpboot/pxelinux.cfg/default

＃vimdefault

lablelinux

kernelvmlinuz

appendinitrd=initrd.imgks=nfs:

192.168.1.115:

/ks/ks.cfg（自应答文件的名称及位置）

5．搭建NFS（为了共享ks和光盘）

#rpm-qnfs-utilsportmap（装包）

#vim/ect/exports

/光盘挂载点*（ro）

/ks*（ro）

#servicenfsrestart

#showmountlocalhost-e查看共享

6．生成KS.CFG（自应答文件）

生成自应答文件的方式的两种方式

1．软件生成

＃rpm-qa|grepsystem-config-kickstart

#system-config-kickstartyuminstall

配置好之后将ks.cfg保存在根目录下面

#cp/ks.cfg/ks/ks.cfg

#chmod777ks.cfg

2.当前本机配置

#cp/root/anaconda-ks.cfg/ks/ks.cfg

#chmod777ks.cfg

#vim/root/ks.cfg

删除cdroom

去掉注释

#clearpart--linux是否初始化硬盘

#part/boot--fstypeext3--size=100

#partswap--size=4096

#part/--fstypeext3—size=100000

%packages告诉要安装那些软件包

@admin-tools@后面是软件包组名

@base

@chinese-support

@core

@dns-server

@development-libs

@development-tools

@dialup

如果安装完要执行脚本文件则手动添加％post

3．打开ks.cfg文件

手动添加nfs—server=192.168.1.115--dir=/rpm安装包的目录

#mkdir/ks

＃cpks.cfg/ks/ks.cfg

4．配置客户端

进bios设网络启动

二．系统故障排除

MBR正常后会调用信息读取启动菜单，读取grub（多系统引导器）grub主配置文件／boot/grub/grub.conf

grub文件被改名后机器运转不起来

采用光盘引导的救援模式

＃linuxrescue

挂本地目录的根＃chroot/mnt/sysimage/

#reboot重启

三．DNS服务器2011年8月26日

类型：

主master：

作用:

负责管理区域的域名解析

区域类型：

（ASOAPTR反向解析NS指定当前区域由那台机器管理XINAME别名MX指定当前区域由那台机器发邮件）

从：

当主服务器当机后从机接替主机工作，备份作用，管理和主一样的区域，没有自己的zone文件，他的区域文件从主上拷贝。

转发：

在第一台DNS服务器上指向第二台DNS服务器达到转发的目的。

实验1:

域名解析

192.168.1.115做主服务器，管理区域

需求：

让客户端能够通过主机名来访问DNS服务器和web服务器

192.168.1.115

在访问可以访问到一样的页面

主配置文件

options{

listen-onport53{any;};

listen-on-v6port53{:

:

1;};

directory"/var/named";

dump-file"/var/named/data/cache_dump.db";

statistics-file"/var/named/data/named_stats.txt";

memstatistics-file"/var/named/data/named_mem_stats.txt";

allow-query{any;};

allow-query-cache{any;};

};

logging{

channeldefault_debug{

file"data/named.run";

severitydynamic;

};

};

zone""{

typemaster;

file"uplooking.zone";

};

zone"1.168.192.in-addr.arpa"

{typemaster;

file"122.zone";

};

正向解析

$TTL86400

.INSOA..（

2011082600

28800

14400

17200

86400）

.INNS.

.INA192.168.1.122

.INA192.168.1.122

bbsINCNAMEwww

反向解析

$TTL3600

@INSOA@.（

211082601

28800

14400

17000

86400

）

INNS

122INPTR

122INPTR

泛域名

＊INA192.168.1.1（www任意名字都能ping通）

$GENERATE1-253stu$（主机名前缀）INA192.168.1.$

实验2：

搭建主从服务器

主服务器：

＃vim/etc/named.conf

#vim/var/named/uplooking.zone

从服务器：

＃vim/etc/named.conf

从机#cd/var/named/slaves目录中会出现主服务器的2个zone文件

至此，达到主从同步的目的，当主机当掉之后，从机可以代替主机继续工作

实验3：

搭建子域

实现客户机指向主服务器时，能够解析到子域里的地址

主服务器修改如下：

＃vim/etc/named.conf

＃vim/var/named/uplooking.zone

修改从服务器

＃vim/etc/named.conf

#vim/var/named/up.zone

第三台机器测试

实验4：

DNS转发

#vim/etc/named.conf

实验5：

视图

＃vim/etc/named.conf

#vim/var/named/lan1.zone

#vim/var/named/lan2.zone

此时用192.168.1.115客户端访问会访问到192.168.1.200的网址

用172.16.1.115客户端访问会访问到172.16.1.10的网址

四.APACHE2011年8月29日

实验1：

访问用户主页

＃vim/etc/named.conf

#vim/var/named/zht.zone

#vim/etc/httpd/conf/httpd.conf

#useraddtt

#cd/home/tt

#mkdirpublic_html

#cdpublic_html

#vimindex.html

hello

#chomd-R755tt

#servicehttpdreload

＃servicehttpdrestart

此时访问

实验2：

用别名访问网页

#vim/etc/httpd/conf/httpd.conf手动填写

#cd/var/www/html

#mkdirall

#cdall编两个网页

＃servicehttpdrestart

此时访问

实验3：

设置访问权限

＃vim/etc/httpd/conf/httpd.conf（允许192.168.1.130访问）

实验4：

认证授权访问控制

＃vim/etc/httpd/conf/httpd.conf

其中：

Authtype（认证方法）：

Basic（普通认证）

Authuserfile用户密码文件的路径

Requireuseruser1允许user1访问

Requirevalid-user允许创建的所有密码用户访问

＃htpasswd-c/webpasswduser1创建密码用户user1

＃htpasswd/webpasswduser2创建密码用户user2

＃servicehttpdrestart

此时访问

实验5：

基于域名的虚拟主机技术

＃vim/etc/named.conf

#vim/var/named/pg.zone

#vim/etc/httpd/conf/httpd.conf

#mkdir/www

#vim/www/index.html

thisiswww

#mkdir/web

#vim/web/index.html

thisisweb

#mkdir/bbs

#vim/bbs/index.html

thisisbbs

#servicenamedrestart

#servicehttpdrestart

#vim/etc/resolv.conf

此时访问能看见thisiswww

访问能看见thisisweb

访问能看见thisisbbs

实验6：

基于端口的虚拟主机技术

在实验5的基础上修改httpd.conf文件

＃vim/etc/httpd/conf/httpd.conf

此时访问:

8009能看见thisiswww

访问:

8080能看见thisisbbs

实验7：

基于域名的动态虚拟主机

www.thizlinux

192.168.0.250

%1解析的是www和192

%2解析的是thizlinux1和168

%3解析的是com和0

%4解析的是cn和250

virtualdocumentroot存放网页文件的主目录/%主机名不相同的部分编号

实验8：

APACHEtomcat动态

1.安装JAVA的开发工具JAVA解释器程序

包名jdk-6u17-linux-i586.bin

＃./jdk-6u17-linux-i586.bin

＃mvjdk1.6.0_17/usr/local/jdk

2．安装tomcat服务器

包名apache-tomcat-6.0.20.tar.gz

#tar-zxvfapache-tomcat-6.0.20.tar.gz-C/usr/local/

#mvapache-tomcat-6.0.20/tomcat

#lstomcat/

bin下有可执行程序conf配置文件

#cdbin

#exportJAVA_HOME=/usr/local/jdk

#echo$JAVA_HOME

#./startup.sh

#lsof-i:

8080

//此时访问页面要求输入正确的用户名和密码，要在下面的文件里设置正确的用户名和密码才可以访问

＃cd/usr/local/tomcat/conf

#vimtomcat-users.xml输入用户名和密码

＃cd/usr/local/tomcat/bin

＃./shutdown.sh

＃./startup.sh

此时再访问http:

//localhost:

8080输入用户名密码就能看各种网页

3．绑定httpd与tomcat

包名jakarta-tomcat-connectors-jk2-2.0.4-src.tar.gz

＃tar-zxvfjakarta-tomcat-connectors-jk2-2.0.4-src.tar.gz-C/usr/src/

安装提供通过uri路径来区分客户端访问页面类型的模块

＃cd/usr/src/jakarta-tomcat-connectors-jk2-2.0.4-src/jk/native2/

＃whichapxs（apxs模块由系统安装光盘中的httpd-devel-2.2.3-6.el5.i386.rpm包提供）

＃rpm-ivh/mnt/Server/apr-devel-1.2.7-11.i386.rpm

＃rpm-ivh/mnt/Server/apr-util-devel-1.2.7-6.i386.rpm

＃rpm-ivh/mnt/Server/httpd-devel-2.2.3-6.el5.i386.rpm

＃./configure--with-apxs2=/usr/sbin/apxs

＃make

＃makeinstall-apxs

＃cd/etc/httpd/modules/

＃lsmod_jk2.so

＃vim/etc/httpd/conf/httpd.conf输入如下内容

LoadModulejk2_modulemoudules/mod_jk2.so

＃servicehttpdrestart

＃cdjakarta-tomcat-connectors-jk2-2.0.4-src/jk／conf/

＃cpworkers2.properties/etc/httpd/conf

＃vim/etc/httpd/conf/workers2.properties加入一条

[uri:

/*.jsp]

＃servicehttpdrestart

＃vim/var/www/html/index.html

此时访问http:

//localhost/index.html静态界面

访问http:

//localhost/index.jsp出现动态界面

windows拷文件/file/a.html到linux操作如下：

＃mount//192.168.1.11/共享名/mnt-ousername=plj

passwd:

windows密码

五．防火墙

（一）简介

1按设备分：

硬件防火墙，软件防火墙。

2按过滤机制分：

过滤行，包过滤型，代理防火墙，状态检测防火墙

3iptables属于包过滤型防火墙，位于网络层，包里包括源地址，目的地址。

4netfilter管理防火墙的功能体系iptables是设置防火墙的规则

5iptables共四张表：

filter做过滤的表，nat网络地址转换，raw表,mangle给匹配到的数据包打标签。

6链：

（1）INPUT发给本机的数据包

（2）OUTPUT检测所有从本机发出去的

（3）FORWARD要不要转发不是自己的包，他的开关是net.ipv4.ip_forward，0开1关（当源地址和目标地址都不是本机时需要转发）

（4）PREROUTING检测所有收到的数据包,在进行路由选择前处理数据包。

（5）POSTROUTING所有从我这出去的包，在路由选择后处理数据包

7．表里存链，链里存规则，可存多个规则。

8．表的匹配顺序rawmanaglenatfilter

数据包过滤匹配流程

9.规则链的匹配流程要看数据流的流向

入站数据：

preroutinginput

出站数据：

outputpostrouting

转发数据：

preroutingforwardpostrouting

（二）设置规则内容

iptables命令的语法格式

iptables[-t表名]管理选项[链名][条件匹配][-j目标动作或跳转]

iptables-t

-AINPUT-s192.168.1.1-jDROP

几个注意事项

不指定表名时，默认表示filter表

不指定链名时，默认表示该表内所有链

除非设置规则链的缺省策略，否则需要指定匹配条件

1.类型

－t不写就默认为filter

2.管理选项的参数

－A追加添加在已有规则的末尾，指定在哪个点上作检

-L查看策略-I在最前面添加-D删除-F全删

-R替换规则列表-P默认策略

3.匹配的规则

－s数据包源-d目的地址—sport—dport-i数据从哪个网卡进-o数据从哪个网卡出-p协议（tcpudpicmp）

4.动作（－j匹配应用）

ACCEPT允许DROP拒绝REJECTSNAT源地址转换

MASQUERADE自动获取你得到的动态IP

实验1：

源地址转换

实验环境三台机器：

一台为内网IP地址为192.168.6.100

一台为iptables设置两块网卡IP分别为192.168.6.115和192.168.7.115

一台为外网IP地址为192.168.7.100

设置内网网关：

＃routeadddefaultgw192.168.6.115

设置iptables＃echo1>/proc/sys/net/ipv4/ip_forward

＃iptables-tnat-APOSTROUTING-s192.168.6.0/24-oeth1-jSNAT—to-source192.168.7.115

此时使用内网ping外网192.168.7.100能拼通就成功了

实验2：

使用内网ping外网的域名能ping通

在外网设置域名解析：

#vim/etc/named.conf

#vim/var/named/zht.zone

设置内网：

#vim/etc/resolv.conf

nameserver192.168.7.100

此时ping能拼到192.168.7.100那台机器

实验3：

目标地址转换，使用外网能访问到内网的页面

设置内网网关：

＃routeadddefaultgw192.168.6.115

设置iptables服务器：

＃echo1>/proc/sys/net/ipv4/ip_forward

＃iptables-tnat-APREROUTING-ieth1-d192.168.7.115-ptcp—dport80-jDNAT—to-destination192.168.6.100

此时在外网上访问192.168.7.115可以访问到内网192.168.6.100的网页

实验4：

允许内网访问外网的dns,web不允许内网访问外网的tftp,ssh

答案一：

先拒绝所有，再允许dns,web的策略

iptables设置：

＃iptables-PFORWARDDROP

#iptables-AFORWARD-oeth1-pudp－－dport53-jACCEPT

#iptables-AFORWARD-ieth1-pudp－－sport53-jACCEPT

#iptables-AFORWARD-oeth1-pudp－－dport20-jACCEPT

#iptables-AFORWARD-ieth1-pudp－－sport20-jACCEPT

答案二：

系统默认是允许的，只要写拒绝tftp,ssh的策略就行了

iptables设置：

＃iptables-AFORWARD-s192.168.6.0/24

-ptcp－－dport22-jDROP

＃iptables-AFORWARD-s192.168.6.0/24-ptcp－－dport21-jDROP

DNS服务器之间使用tcp

客户端与D

下载	加入VIP,免费下载