《网络服务器搭建、配置与管理——Linux（RHEL8、CentOS8）（微课版）（第4版）》全册电子教案.docx

网络服务器搭建、配置与管理一一Linux （RHEL8、CentOS8）（微课版）（第4版）全册电子教案学习工程安装与配置Linux操作系统教学任务系统安装及配置学时4授课班级授课日期授课地点教 学 目 标思政 目标1 .理解自主可控于我国的重大意义。2 .激发学生的爱国情怀和学习动力。知识 目标1 .了解Linux系统的历史2,了解Linux的版权及特点3,理解Linux的体系结构技能 目标1 .掌握RHEL8的主要特性2,掌握安装RHEL8服务器的方法社会 能力 目标1 .培养学生动手操作能力2 .培养学生规划管理能力教学内容1,理解linux的基础知识2 .了解VM虚拟机3 .学会安装RHEL8系统4 .掌握yum软件仓库的使用方法5 ,掌握启动和退出系统的方法教学重点Linux系统的特点、动手操作安装RHEL8教学难点Linux系统的特点及版本、实用工具学生完成第二种设置方式模仿 练习 (E)实践 练习一、课堂讲解。使用nmcli命令配置网络二、操作示范1 .nmcli connection show：显示所有连接。2 .nmcli connection show -active：显示所有活动的连接状态。3 .nmcli connection show Hensl60n：显示网络连接配置。4 .nmcli device status： 显示设备状态。讲解 示范 (E)5 .nmcli device show ensl60：显示网络接口属性。案例分析6 .nmcli connection add help： 查看帮助。7 .nmcli connection reload：重新加载配置。8 .nmcli connection down test2：禁用test2的配置，注意一个网卡可以有多个配置。9 .nmcli connection up test2：启用 test2 的配置。10 .nmcli device disconnect ens160：禁用 ensl60 网卡,物理网卡。11 .nmcli device connect ens 160：启用 ens 160 网卡。nmcli命令/etc/sysconfig/network-scripts/ifcfg* 文彳牛ipv4.method manualBOOTPROTO=noneipv4.method autoBOOTPROTO=dhcpPREFIX=24ipv4.dns-search example DOMAIN=example ipv4.ignore-auto-dns truePEERDNS=noconnection.autoconnect yesONBOOT=yesconnection.id ethONAME=eth0connection.interface-nameethODEVICE=eth0802-3-ethemet.mac-address . HWADDR=.三、模仿练习30'练习 (E)学生按照实例完成设置过程。实践 练习讲解 示范 (E)模仿 练习 (E)一、课堂讲解 创立网络会话实例 配置远程控制服务操作示范 按步骤完成以下操作：假设将公司网络中的网络会话称之为company,将家庭网络中的网络会话称之为 home,现在依次创立各自的网络会话。SSH (Secure shell)是一种能够以平安的方式提供远程登录的协议，也是目前远程 管理Linux系统的首选方式。 重点介绍以下2个内容： 1 .配置 sshd 服务 2.平安密钥验证模仿练习 学生克隆一台客户机实现远程登入操作。讲授案例 分析实践 练习70，检查 反应 (E)教师指出学生实践过程中可能出错和已经出错的知识点，对学生点评不完善的地 方进行补充，对存在的问题进行评析，加深印象，强化记忆。点评591课堂 小结 (E)总结本课学习内容总结、评价学生小组活动情况布置4个同学预习工程3准备上台主讲归纳 总结5，总计160'拓展 训练 (E)完成工程实录教 学 后 记本次课教学情况总结网络服务器搭建、配置与管理一一Linux (RHEL8、CentOS8)(微课版)(第4版)电子教案教学任务配置与管理防火墙和SELinux学时4授课班级授课日期授课地点教 学 目 标思政 目标1 .明确职业技术岗位所需的职业规范和精神，树立社会主义核心价值观。2.知悉读大学的真正含义，以德化人，激发学生的科学精神和爱国情怀。知识 目标1. 了解防火墙的分类及工作原理2. 了解 NAT技能 目标1 .掌握firewalld防火墙的配置2 .掌握服务的访问控制列表3 .掌握利用firewalld实现NAT社会 能力 目标1 .培养学生动手操作能力2 .培养学生规划管理能力教学内容1 .防火墙概述、iptables 与 firewalld2 . NAT 基础知识、SELinux3 .使用firewalld服务4,设置SELinux的模式、平安上下文和管理布尔值5. NAT (SNAT和DNAT)企业实战教学重点1 .使用firewalld服务2. NAT (SNAT和DNAT)企业实战教学难点SNAT、DNAT工作原理教学方法1 .宏观上采用“工程引导”，在微观上采用“任务驱动”、“问题牵引”，以课程慕课、工程实录 辅助讲解。2 .在课堂上注意讲、学、做相结合，注重与学生的互动，充分调动学生的积极性，培养学习兴趣， 提高分析问题和解决问题的能力。教学教学环节教学内容教学 方式时 间项H导入一、工程导入某高校组建了校园网，并且已经架设了Web、FTP、DNS、DHCP、Mail等功能的服务演示 提问5，(L)程讲解 示范 （E）器来为校园网用户提供服务，现有如下问题需要解决：（1）需要架设防火墙以保障校 园网的平安。（2）需要将子网连接在一起构成整个校园网。（3）由于校园网使用的是私 有地址，需要转换网络地址，使校园网中的用户能够访问互联网。该工程由Linux的防 火墙firewalld来实现，通过部署防火墙firewalld和NAT,能够实现上述功能。二、工程任务.使用firewalld服务1 .设置SELinux的模式.设置SELinux平安上下文2 .管理布尔值. NAT （SNAT和DNAT）企业实战 三、工程理论目标分析1 .分析知识目标.分析技能目标讲授5'一、课堂讲解使用firewalld服务二、操作示范1 .使用终端管理工具查看firewalld服务当前状态和使用的区域。IrcorServerOl * # firewall-cmd -state，查看防火墙状态lrcox3Ser-rer01 】: systemctl restart firewalld "rcoLServerOl - ? firewall-cmd -get-default-zone，直看默认区域public查询防火墙生效ensl60网卡在firewalld服务中的区域。roc Server 01 # firewall-and get-active-zones#查看当前防火墙中生效的区域把firewalld服务中ensl60网卡的默认区域修改为external,并在系统重启后生 效。分别查看运行时模式与永久模式下的区域名称。roo*3Server01 芈 firewall-and list-all zone=work *查看指定区域的防火墙策略 rcoLSServerOl * firewall-and -permanent -zone=external -change- in ter f ace=ens 160 successroot2Server01 ” firewall-and -get-zone-of-interfaoe=ensl60trussedrcoT；3Server01 * firewall-and -permanent -get-zone-of-interfaoe=ensl60 no zone把firewalld服务的当前默认区域设置为publicorootServer01 * firewall-cmd -set-default-zone=publicrootServer01 ：* firewall-cmd -get-default-zonepublic启动/关闭firewalld服务的应急状况模式，阻断一切网络连接（远程控制服务器 时请慎用）。讲授案例分析40'(E)roo,cSServerOlfirewall-cmd -panic-onsuccessroouServer01 firewall-cmd -panic-offsuccess查询public区域是否允许请求SSH和 S的流量。roozServer01 firewall-cmd -zone=public -query-service=sshyesroo,cSServer01firewall-cmd zone>ublic query-service= sno把firewalld服务中请求 s的流量设置为永久允许，并立即生效。roor;Server01 root;Server01 roox;Server01roo*Server01roo*Server01firewall-cmdfirewall-cmdfirewall-cmdsuccessget-services中查看所有可以设定的服务firewall-cmdfirewall-cmdzone=public add-service= spermanent zone=public add-service= s 一一reload会查看生效的防火墙策略把firewalld服务中请求 s的流量设置为永久拒绝，并立即生效。root8erver01 学firewall-cmdpermanent zone=public remove-service= ssuccessrooServer01 学 rooz8erver01firewall-cmdfirewall-cmd-reload-list-all寺查看生效的防火墙策略把在firewalld服务中访问8088和8089端口的流量策略设置为允许，但仅限当前生效。roocServer01 firewall-cmd zone=public add-port=8088-8089/tcpsuccessrooServer01 firewall-cmd -zone=public -list-ports 80S8-8089/tcp2 ,使用图形管理工具安装 firewall-configroctServer01mount /dev/cdrom /mediarootServer01dnf install firewall-config -y启动图形界面的firewalld在终端输入命令firewall-config或者选择“活动” firewall-config 界面。“防火墙”命令，翻开文件仔)通项(O) *«(V)倡助(H)*活动的螂定S» eml60 (ensl60) MUS： p«Mc同卡vlrbrO E： ibvlrt来源F*gUD区域定义了酬定的网络连授、网卡Cl及源地址的可信百度.区域量服务、口、IPft 黑、口文收发.ICMP过博以及富H剜的蛆台.区域可以娜定到网卡以及源地地.Mock dnv drop external home mtenwl Ubvktpublktrusted worti三、模仿练习可以在这里定义区中d些年务是可信的.可连播至镇定到这个区域的逢 发、网卡10源的所H主机知网络及可以访问可信务.««nan(U*cUent ananda-kS-client«nqp mqgn xupsdaudit - 2cuUt»cuU-cbent bb学生实践学生上机练习修改firewalld配置。讲授讲解示范(E)(E)roo?Server01：t getenforce士检/当前SELinux的运行状态Enforcingrooc?Ser-er01-；t setenforcePermissive:切换到宽容模式(Pezmissi-e )rooz?Ser*erO 1t getenforcePermssiverooz$Ser-er01*j * setenforce1si代表强制模式(Enforcing )roox?Ser*er01 getenforceEnforcingrooz?Ser*er01t setenforce0-0代表宽容模式( Perr-issive )roozJSer-erOl-t getenforcePermissiveroox?Ser'*er01t sestatus士查看SZLinu:-:的运行状态SILlhux status:enabledSElLnuxf s rr.ount:SZLmux root dixecccry:Leaded policy name:Current mode:Mode from config fLie:Policy MLS status:Policy deny_unknown scatus: Memory prcteccicn checking: Ma:": kernel policy ,ersLon:/sys/f s/selinu:< /etc/5elxnux targeted permissive permissive enabled allowedactual (secure) 31三、模仿练习学生完成第二种设置方式案例分析实践练习10'一、课堂讲解设置SELinux的模式操作示范1 ,使用配置文件设置SELinux的模式直接修改letc/selinuxlconfig和/etclsysconf iglselinux文件来控制是否启用SELinux就可以了。2.使用命令行命令设置SELinux的模式讲授roo*?Ser-er01 * id -Z#查看用户的平安上下文、课堂讲解。设置SELinux平安上下文三、操作示范1 .查看用户、文件和进程的平安上下文unconfined uzunconfined r zunconfined r:s0-s0:c0.c1323zoo*®Ser*'erO 1 :总用量8dzw:-:r-:<r-x. 2 rootzoo*®Ser*'erO 1 :总用量8dzw:-:r-:<r-x. 2 root18 -Z1尊查看文件的平安上下文drwxr-xr-x. 2 root6 B月 1816:13公共6 B月IB 16:13模板IrootServerOl * ps -Z LA3ELIrootServerOl * ps -Z LA3EL亘看进程的平安上下文PZD TTY(E)(E)unconfined_u:unccnfined_r:unccnfined_c:s0-s0:c0.cl023 2948 pcs/0 00:00:00 bash unconfined uzunconfLned r:unccnfLned z:s0-s0:cO.C1023 3020 ©cs/0 00:00:00 ds案例分析30'2 .使用命令senamage查看系统默认的卜.下文；roouServerOl * semanage fcontext -1 Ihead -10SELinux fconrexr类型上下文/directorysysweir._u: ob ject_r: zooz_t: sO/.»all fLiessysre_u:obj ec*_r:def:s0/*/+regular fLiesysLem_u: objec_r: s03 .使用chcon命令修改平安上下文I root 3 Server 01 :二 Is -Z1 anaconda-ks .cfgt查看 anaconda-ks . cfg 文件的上下文类型-rw.1 root zooz system u: object x: admin home t: sO 1722 8 月 18 16:06 anaconda-ks.cfgIroorServerOl - * chcon -t d_cache_t anaconda-ks.cfg，修改文件的上下文类型IrooSServezOl # Is -Z1 anaconda-ks.cfg-rw. 1 root xooc sy stm_u: ob j ecr_r: d_cache_t:sO 1722 a 月 18 16:06*恢豆anaconda-ks . cfg的平安上下文Relabeled /rocr/anaconda-ks.cfg from sysrem_u:objec:htLpd-cache: sO zo system u: object r : a±nin hcir.e z : sOLrooLServezOl Is -Z1 anaconda-ks.cfg-rw. 1 root root sysem-u:objector:admin_home_t: s3 1722 8 月18 16:06anaconda-ks.cfg三、模仿练习学生按照实例完成设置过程。模仿 练习 (E)一、课堂讲解管理布尔值二、操作示范1.查看系统中所有管理布尔值的设置rooc?Server01getsebool -aabr_anon_writeoffabrc_handle_evenc 一一> offacr1oad_wazch_anon_wrlte -> on anrivirus can scan svstem -> off antivirus use nic -> off audL*ato_exec_con*ent -> on auchlcgin nsswicch use idao -> off讲解 示范 (E)实践 练习 S52.查看系统中有关 的所有管理布尔值的设置案例 20,分析roo?Ser-,erO 1 getsebool -a I grep upd-anonrite -> offitrpd_builtin_5crLpring -> cni七乙pd_umn_uh2uk_spam -> off3.查看系统中有关ftp的所有管理布尔值的设置模仿 练习 (E)roocServer01 * getsebool -a I grep ftp ftpd_anon_wrLte -> off f,cpd-connect-all-unreser*-ed -> off ftpd_connect_dbofffzpd_full_acce5s -> off ftpd_use_cifs 一一> off ftpd_use_fusefsoffftpd_use_nfs -> off ftpd_use_passive_ir.cde -> off d-can-connecc-ftp -> off d-enable_ftp_server -> off tftu anon wrteofftftu home dir -> off rooc?Ser-*er01 *4.使用setsebool命令修改ftpd_full_access的管理布尔值的设置，使vsfzpd具有访问“p根目录以及文件传输的权限roorJServerOl ， getsebool -a 1 grep ftpd_full_access ftpd_full_acce5s -> off 士数字工表示开启，数字。表示关闭roctgSer*'erOl ：。 setsebool ftpd_full_acces8=lrooc?Server01 ， getsebool -a I grep ftpd_full_access ftpd_full_access -> on二以R首金系统后会失效，加上大写的7选项可以确保更启系统后设置仍生效roctSer*er31 ：， setsebool -P ftpd_full_access=onxoocJServerOl t setsebool -P ftpd full access 1;也可®格符代替 =模仿练习学生按照实例完成设置过程。实践 练习操作 实战NAT (SNAT和DNAT)企业实战综合 应用40'检查 反应 (E)教师指出学生实践过程中可能出错和已经出错的知识点，对学生点评不完善的地 方进行补充，对存在的问题进行评析，加深印象，强化记忆。点评5，课堂 小结 (E)总结本课学习内容总结、评价学生小组活动情况布置4个同学预习工程4准备上台主讲归纳 总结5，总计160'拓展 训练 (E)完成工程实录教 学 后 记本次课教学情况总结网络服务器搭建、配置与管理一一Linux （RHEL8、CentOS8）（微课版）（第4版）电子教案教学任务配置与管理代理服务器学时2授课班级授课日期授课地点教 学 目 标思政 目标1 .通过国家顶级域名“CN”，激发学生自豪感。2 .鞭策学生努力学习。知识 目标1 . 了解代理服务器的基本知识2 .为后续课程补充文件权限设置内容技能 目标1.掌握squid代理服务器的配置社会 能力 目标1 .培养学生动手操作能力2 .培养学生规划管理能力教学内容1.代理服务器的工作原理和作用2,安装、启动、停止与随系统启动的squid服务3 .配置squid服务器4 .企业实战与应用教学重点1 .配置squid服务器2 . squid企业实战与应用教学难点squid企业实践环境搭建教学方法1 宏观上采用“工程引导”，在微观上采用“任务驱动”、“问题牵引”，以课程慕课、工程实录 辅助讲解。2 .在课堂上注意讲、学、做相结合，注重与学生的互动，充分调动学生的积极性，培养学习兴趣， 提高分析问题和解决问题的能力。教 学 过 程设 计教学环节教学内容教学 方式时间工程 导入 (L)某高校组建了校园网并能提供多种服务，现有如下问题需要解决。(1)需要提高 网络访问速度。(2)需要进行用户访问限制。(3)需要隐藏校园网中用户访问互联网 时的网络信息。该工程实际上是由Linux的防火墙与代理服务器:firewalld和squid来完成的,通 过部署署rewalld. NAT、squid,能够实现上述功能。工程3已经完成了firewalld、NAT 的学习，现在来学习关于代理服务器的知识和技能。演示 提问5，二、工程任务1 .安装、启动、停止与随系统启动的squid服务2 ,服务器 3.企业实战与应用三、工程理论目标分析 1.分析知识目标 2.分析技能目标讲授5，讲解 示范 (E)模仿 练习 (E)一、课堂讲解安装、启动、停止与随系统启动的squid服务操作示范 1.squid软件包与常用配置项squid 软件包名：squid tt 服务名：squid o 主程序：/usr/sbin/squido 配置目录：/etc/squid/o 主配置文件：/etc/squid/squid.8nf0 默认监听端口： TCP3128o 默认访问日志义件：/var/log/squid/access.log。常用配置项。 _port 3128o accessog /var/log/squid/access.log。 visible.hostname proxy,example o2.停止 squid 服务讲授案例 分析10，教学方法1.宏观上采用“工程引导”，在微观上采用“任务驱动”、“问题牵引”，以课程慕课、工程实录辅助讲解。2,在课堂上注意讲、学、做相结合，注重与学生的互动，充分调动学生的积极性，培养学习兴趣， 提高分析问题和解决问题的能力。教 学 过 程 设 计教学环节教学内容教学 方式时间工程 导入 (L)一、工程导入某高校组建学校的校园网，需要部署具有Web、FTP、DNS、DHCP、Samba、VPN等功 能的服务器来为校园网用户提供服务，现需要选择一种既平安又易于管理的网络操作 系统，正确搭建服务器并测试。Linux由于其开源、稳定的性能而越来越受到用户的欢迎，本书的核心内容是RHEL8 操作系统的安装、配置与使用。演示 提问5，二、工程任务.L安装与配置VM虚拟机2 .安装RHEL 83 .重置root管理员密码 4 .红帽软件包管理器5.使用yum和dnf.6. systemd初始化进程/Bushell 8,制作系统快照工程思政1 .了解核高基和国产操作系统，理解自主可控于我国的重大意义 2.明确操作系统在新-代信息技术中的重要地位讲授5，讲解 示范 (E)一、课堂讲解安装与配置VMware虚拟机操作演示 1 .演示安装过程，讲解考前须知讲授案例 分析10'rcotSerexOZ ：二 rpm -qa I grep squidroot3SerT'ex02mount /dev/cdrom /mediaroot3Server02 * # dnf clean all*安装前先清除缓存root3SerTrex02 ：小 dnf install squid -yrootServezOZsystemctl sbart squid，启动 5炉id 服务root3SerTrer02systemctl enable squid，开机自动启动模仿练习学生上机练习修改firewalld配置。学生 实践一、课堂讲解配置 squid 服务器操作示范1 .几个常用的参数讲授讲解 示范 (E)模仿 练习 (E)2(参数作用案例 分析15， _port3128设置监听的端口为3128cache.mem 64M设置内存缓冲区的大小为64MBcache.dir ufs /var/spool/squid 2000 16 256设St硬速缓存大小为2000MB,缓存目录为War/spooVsQuid, 一级 子目录16个,二级子目录256个cache_effective_user squid设置缓存的有效用户cache.effective_group squid设置缓存的有效用户组dns_nameservers IP tetit一般不设置，而是用服务器默认的DNS地址cache_access_k)g /var/log/squid/access .tog访问日志文件的保存路径cache Jog A/ar/bg/squkVcache .log缓存日志文件的保存路径visible_hostname 设 squid服务器的名称二设置访问控制列表acl命令的格式如下。acl列表名舜列表类型-i列表值!(ACL列表类型说 Ksrc ip-address/netmask客户S6源IP地址和子网掩码src addri -addr4/netmask客户端源IP地址范圉dst ip-address/netmask客户端目标IP地址种子网摊码myip ip-address/netmask本地套接字IP地址srcdomain domain源域名(客户端所属的域)dstdomain domain目的域名(Internet中的服务器所属的域)srcdom_regex expression对源URL进行正那么表达式匹配dstdom_regex expression对目的URL进行正那么表达式匹配time指定时间.用法：acl adname time day-abbrevs h1:m1-h2:m2其中 day-abbrevs 可以为 S ( Sunday )、M ( Monday )、T ( Tuesday )、W(Wednesday k H (Thursday )、F (Friday k A (Saturday)注意：h1:m1-S要比h2：m2小port指定连建造口，；2 acl SSL_ports port 443Proto指定使用的通信协议.如ad allowprotolist proto ud.regex设置URL规那么匹配表达式urlpath_regex：URL-path设置略去协议和主机名的URL规那么匹配表达式2) _access设置允许或拒绝某个ACL的访问请求。格式如下。 aaccess allowl deny ACL 的名称squid服务器在定义ACL后，会根据 .access的规那么允许或禁止满足一定条件的客户端 的访问请求。模仿练习学生完成第二种设置方式实践 练习讲解 示范 (E)模仿 练习 (E)一、课堂讲解。企业实战与应用四、操作示范1.企业环境和需求讲授案例 分析45'V内网的IP地址：7 、92 168 10.20/24。角色：允许Inlernet访问的Web 服务器、hrewalid主机名：ServerOlIP 地址：网关:192.1681020摞作系统：RHEL8八、角色：squd代理服务荐、防火墙主机名：Server02掾作系统：RHEL 8/ Internet 接 Mntemet尿ip 地址:202.112.113.1124°J角色：Internet上的Web 服务器、firewaild主机名：Clientl操作系统：RHEL 8IP地址：202.112.113.1134网 关:具体需求：(1)客户端在设置代理服务器地址和端口的情况下能够访问互联网上的 Web服务器。(2)客户端不需要设置代理服务器地址和端口就能够访问互联网上的Web 服务器，即透明代理。(3 )ServerO2配置代理服务，内存为2GB,硬盘为SCSI硬盘， 容量为200GB,设置10GB空间为硬盘缓存，要求所有客户端都可以上网。 2.手动设置代理服务器解决方案在Server02上安装双网卡，配置IP地址、网关等信息。在ServerOl上设置IP地址等信息。在Clientl上安装 d服务，让防火墙允许该服务通过，并测试默认网络配置是 否成功。1在Server02上安装并配置squid服务。roctServer02vim /etc/squid/squid.conf 56 _access allow localnet57 hrtp_access deny all上上面3号的意思是，定义19二.0.0 .。的网络为locals0允许访问localnec,其他都被拒绝64 _por 312867 cache_dir ufs /var/spool/squid 10240 16 256，设置硬盘缓存大小为10G3,目录为/var/spool/squid,一级子目录16个，二级子目录二56个68 visible_hostnane ServerOCroctServer02 systemctl start squidrootServer02 学 systemctl enable squidServerOl上测试代理设置是否成功。连接设苴配宜访问互联网的代理服旁器不使用代理服务器QD自动检测此网络的代理设置型) 使用系蜕代理设苣(U)| 手动代理配百百1 代理凶 | 口为所有协议使用相同代理服务器(§)帮助但)Test Page for the Apache HT x +xJ(