Linux服务器配置与管理.doc

《Linux服务器配置与管理.doc》由会员分享，可在线阅读，更多相关《Linux服务器配置与管理.doc（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流Linux服务器配置与管理.精品文档.案例1：如果是用映像文件安装的Linux系统，则在需要通过光盘安装系统中的软件的时候，可以在虚拟机的VM选项中选择Removable Devices中的CD/DVD(IDE)中的setting，然后在右侧选择Use ISO image file，同时要选中上方的connected。确定后会在系统中出现一个光盘的图标。这样这个映像文件就加载到了系统上，在Linux系统中如果想访问它，首先要把这个文件用mount命令挂载起来，才能访问其中的文件，然后就可以通过进入目录来访问其中的文件了。安装软件包的命令为rp

2、m ivh *.rpm2：在ubuntu下建立FTP服务器：(虚拟机的网络设置一定要设置为桥接，然后使用dhclient重新分配IP地址)1）安装vsftpd：sudo apt-get install vsftpd,安装完毕后或许会自动生成一个账户“ftp”，/home下也会增加一个文件夹，如果没有生成这个用户的话，可以手动添加：sudo useradd -m ftp; sudo passwd ftp; (如果创建不成功的话，可以在root用户下创建)还要更改权限：sudo chmod 777 /home/ftp2）配置文件 ：通过sudo gedit /etc/vsftpd.conf修改，如

3、下：#独立模式启动listen=YES#同时允许4客户链接，每个IP最多5个进程max_clients=200max_per_ip=4#不允许匿名用户访问，允许本地系统登录anonymous_enable=NOlocal_enable=YESwrite_enable=NO#是否采用端口20进行数据传输connetc_from_port_20=YES#生成日志xferlog_enable=YES#指定登录转向目录local_root=/home/ftp/ftp3)最后要重启ftp服务：sudo /etc/init.d/vsftpd restart;此外还有开启和关闭服务的命令：sudo /etc

4、/init.d/vsftpd start; sudo /etc/init.d/vsftpd stop.然后就可以通过ftp命令来访问了。3：创建和修改用户账号，使其有一个nologin shell：由于安全原因，有时候需要让你的用户不能登录服务器，一个简单的方法就是配置他们的账号，把登录的shell设置成/sbin/nologin，要修改一个已经存在的账号命令如下：usermod s /sbin/nologin username,也可以创建一个文件/etc/nologin，然后用命令：usermod s /etc/nologin username。如果需要在用户创建时就默认为/sbin/nol

5、ogin登录，可以用useradd D s /sbin/nologin，这样在使用useradd增加新用户时，就不需用-s指定登录shell了，缺省的登录shell就是/sbin/nologin，这个配置仍然允许用户执行重要的日常任务，比如收发信件、FTP、访问网路共享目录和其他任务，它只是阻止用户登录服务器。第一章 Linux概述1、linux内核由5个子系统组成：箭头表示依赖于（1） 进程调度程序(SCHED)负责控制进程访问CPU。调度程序所使用的策略可以保证进程能够公平地访问CPU，同时保证内核可以准时执行一些必需的硬件操作。（2） 内核管理程序（MM）使多个进程可以安全地共享及其的主

6、存系统，此外，内存管理程序支持虚拟内存，使Linux可以支持进程使用超过系统中的内存数量的内存。（3） 虚拟文件系统（VFS）通过提供一个所有设备的公共文件接口，VFS抽象了不同硬件设备的细节，此外，VFS支持与其他操作系统兼容不同的文件系统格式。（4） 网络接口（NET）提供了对许多建网标准和网络硬件的访问。（5） 进程间通信（IPC）子系统为单个Linux系统的进程与进程之间通信提供了一些机制，2、Linux Shell：Shell是一个命令解释器，它解释由用户输入的命令并且把命令送到内核，目前主要有下列版本的Shell：Bourne Shell：是贝尔实验室开发的； BASH：是GUN的

7、Bourne Again Shell，是GUN操作系统上默认的Shell； Korn Shell：是对Bourne Shell的发展，在大部分内容上与Bourne Shell兼容； C Shell：是SUN公司Shell的BSD版本。3、Linux的实用工具可分为三类：编辑器用于编辑文件，如Ed、Ex是行编辑器，Vi和Emacs是全屏幕编辑器。过滤器用于接收数据并过滤数据，如Filter交互程序允许用户发送信息或接收来自其他用户的信息，是用户与机器的信息接口，信息的发送方式有两种：一种是与其他用户一对一地进行对话，另一种是一个用户对多个用户同时连接进行通信，即所谓广播通信。4、POSIX标准：

8、表示可移植操作系统接口（Portable Operating System Interface），电气和电子工程师协会（IEEE）最初开发POSIX标准，是为了提高UNIX环境下应用程序的可移植性。5、Linux的优点：开放性； 多用户； 多任务； 良好的用户界面； 设备独立性：是指操作系统把所有外部设备统一当做文件来看待，只要安装他们的驱动程序，任何用户都可以像使用文件一样，操纵、使用这些设备，而不必知道它们的具体存在形式；提供了丰富的网络功能；可靠地系统安全； 良好的可移植性。6、Linux的启动过程：首先进行内核的引导，接下来执行init程序，init程序调用了rc.sysinit和rc

9、等程序，当rc.sysinit和rc完成系统初始化和运行服务的任务后，返回init；init启动了mingetty后，打开了终端供用户登录系统，用户登录成功后进入Shell，这样就完成了从开机到登录的整个启动过程。1）内核的引导（核内引导）：Red Hat Enterprise Linux AS4可以使用lilo或grub等引导程序开始引导Linux系统，当引导程序成功完成引导任务后，Linux从它们手中接管了CPU的控制权，然后CPU就开始执行Linux的核心映像代码，开始了Linux启动过程。2）运行init：int进程号是1，是系统所有进程的起点，init程序需要读取配置文件/etc/i

10、nittab，它是一个不可执行的文本文件，inittab的格式：id:runlevel:action:process，id是指入口标识符，它是一个字符串，对于getty或mingetty等其他login程序项，要求id与tty的编号相同，否则getty程序将不能正常工作。Runlevel是init所处于的运行级别的标识，一般使用0-6, 0,1,6运行级别被系统保留，0作为shutdown动作，1为重启至单用户模式，6为重启；action是描述其后面的process的运行方式的，action的值包括：initdefault、sysinit、boot、bootwait等。Process为具体的执

11、行程序，程序后面可以带参数。3）系统初始化：在init的配置文件中有这么一行：si:sysinit:/etc/rc.d/rc.sysinit它调用执行了/etc/rc.d/rc.sysinit, 而rc.sysinit是一个bash Shell的脚本，它主要完成一些系统初始化的工作，rc.sysinit是每个运行级别都要首先运行的重要脚本，它主要完成的工作由激活交换分区、检查磁盘、加载硬件模块，以及其他一些需要优先执行任务。4）启动对应运行级别的守护进程：在rc.sysinit执行后，将返回init继续其他的动作，通常接下来会执行到/etc/rc.d/rc程序，至于每个运行及中将运行哪些守护京

12、城，用户可以通过chkconfig或setup中的”System Services”来自行设定，常见的守护进程有：amd自动安装NFS守护进程； apmd高级电源管理守护进程； arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库；autofs自动安装管理进程automount，与NFS相关，依赖于NIS； crond Linux下的计划任务的守护进程； named DNS服务器； netfs 安装NFS、Samba和NetWare网络文件系统； network激活已配置网络接口的脚本程序； nfs打开NFS服务； portmap RPC portmap管理器，它

13、管理基于RPC服务的连接； sendmail 邮件服务器sendmail； smb Samba文件共享/打印服务； syslog一个让系统引导时启动syslog和klogd系统日志守护进程的脚本； xfs X Window字型服务器，为本地和远程X服务器提供字型集； Xinetd支持多种网络服务的核心守护进程，可以管理wuftp、sshd、telnet等服务。5）建立终端：rc执行完毕后，返回init，init接下来会打开6个终端，以便用户登录系统，在inittab中的一下6行就是定义了6个终端：1:2345:respawn:/sbin/mingetty tty12:2345:respawn:

14、/sbin/mingetty tty2 可以看出在2、3、4、5的运行级别中都将以respawn方式运行mingetty程序，它能够打开终端、设置模式，同时会显示一个文本登录界面。6）登录系统，启动完成：Linux账号验证程序时login，它会接收mingetty传来的用户名作为用户名参数，然后login会对用户名进行分析，如果用户名不是root，且存在/etc/nologin文件，login将输出nologin文件的内容然后退出，这通常用来系统维护时防止非root用户登录。只有/etc/securetty中登记了的终端才允许root用户登录，如果不存在这个文件，则root可以在任何终端上登录

15、。在分析完用户名后，login将搜索/etc/passwd与/etc/shadow来验证密码，以及设置账户的其他信息，如果没有指定主目录，将默认为跟目录；如果没有指定Shell，将默认为/bin/bash。Login程序成功后，会向对应的终端在输出最近一次登录的信息，并检查用户是否有新邮件(在/usr/spool/mail的对应用户名目录下)，然后开始设置各种环境变量。对于bash来说，系统首先寻找/etc/profile脚本文件，并执行它；然后如果用户的主目录中存在.bash_profile文件，就执行它，在这些文件中有可能调用了其他配置文件。Linux启动过程7、Linux的关闭与重新引导

16、：使用shutdown命令，参数选项有：-k 不是真正关闭系统，只是警告； -h关闭后暂停； -r关闭后重新引导； -c取消已经运行的关闭操作； -n不通过init直接关闭； -f快速重新引导； time 关闭的时间。8、硬盘分区：1）扩展分区和逻辑分区，DOS分区命令FDISK允许用户创建一个扩展分区，并且在扩展分区内再建立最多23个逻辑分区，其中每个分区单独分配一个盘符，可以被计算机作为独立的物理设备使用，关于逻辑分区的信息都被保存在扩展分区中，而主分区和扩展分区的信息被保存在硬盘的MBR（Master Boot Record, 主引导记录）中，也就是说无论硬盘有多少个分区，其主启动记录中

17、只包含主分区和扩展分区的信息。2）一个误解：许多人认为在对硬盘分区时最好多创建几个逻辑分区，这样可以避免出现问题的分区影响到保存在其他分区中的数据，但是，一个被破坏的分区往往会导致整个硬盘无法正常使用，如果由于某种原因使MBR受到破坏，硬盘主分区将无法使用，进而使包含操作系统的启动盘也无法使用。3）Windows操作系统分区：一般采用一个主分区(C)加一个扩展分区，在扩展分区中内建立多个逻辑分区的方案。9、Linux分区1）设备管理：在Linux中，每一个硬件设备都映射到一个系统的文件，对于硬盘、光驱等IDE或SCSI设备也不例外，Linux把各种IDE设备分配了一个有hd前缀组成的文件，而对

18、各种SCSI设备，则分配了一个有sd前缀组成的文件，如：IDE设备为hda, hdb,，SCSI设备是：sda , sdb等。2）分区数量：对于每一个硬盘（IDE或SCSI）设备，Linux分配了一个1-16的序列号码，这就代表了这块硬盘上的分区号码，如：第一个IDE硬盘的第一个分区为hda1, 第二个分区时hda2, 对于SCSI硬盘则是sda1、sda2。3）各分区的作用：主分区是计算机用来进行启动操作系统的，因此每个操作系统的启动（也称为引导程序）都应该存放在主分区上，在执行安装引导Linux的bootloader的时候，必须制定在主分区上，Linux规定了主分区（或扩展分区）占用1-1

19、6号码中的前4个号码，以第一个IDE硬盘为例说明，主分区（或扩展分区）占用了hda1、hda2、hda3、hda4,而逻辑分区占用了hda5-hda16，因此Linux下面每个硬盘最多有16个分区。4）分区指标：分区的大小和类型是最主要的指标，分区类型规定了这个分区上面的文件系统的格式，在Linux系统中，可以通过分区类型号码来区别这些不同类型的分区。10、文件系统，指文件存在的物理空间。Linux有4中基本文件系统类型：普通文件、目录文件、连接文件和特殊文件。其中特殊文件为Linux的一些设备如磁盘、终端、打印机等都在文件系统中表示出来，常放在/dev目录内，Linux没有C:的概念，而是用

20、/dev/hda来表示第一磁盘。11、Linux分区方案：每个Linux系统中必须要有的分区只有两个，一个是根分区(/)，一个是交换区(swap)，这个分区只能是swap格式，其大小一般设置为内存的两倍大小（内存少于256MB时）或和内存一样（内存为256M及以上时）。交换分区swap的功能和Windows下的交换文件相同，都是作为虚拟内存使用，但是Windows下，交换文件的大小是动态增长的（也可以固定），从而要求必须为交换文件所在分区保留一定的空间（一般C盘必须保留300MB左右的空间备用），否则运行大程序时会提示虚拟内存不足，而Linux下，由于虚拟内存采用了独立的分区，在文件分区时可以

21、不必考虑文件交换问题。好的分区方案是独立分出/home去作为用户盘，/usr去作为软件盘，余下的一些系统文件都放到/去，作为系统盘，另外还有一个适于当前内存的swap交换区，一个40GB的硬盘分区如下：设备 挂载点 分区格式 大小/dev/hda1 /(系统盘) reiser6GB/dev/hda5 swap(交换区) swap 1GB/dev/hda6 /usr(软键盘) ext310.5GB/dev/hda7 /home(用户盘) ext320GB12、安装过程中应当注意的一些问题：1）如果要和Windows混装，一定要先装Windows，后装Linux。2）分区时，根据计划安装的软件灵活

22、决定分区，一般有：/，/root，/usr，/var和swap分区。3）一般安装Linux的做法是开始安装一个最小系统，然后安装所有的编译工具。4）如果和Windows混装的时候，安装完成后但系统不能正常启动，可以用Windows 98启动盘启动，然后用FDISK/MBR恢复主引导分区来保住Windows分区。13、删除RedHat Enterprise Linux步骤1）使用DOS启动盘启动，用fdisk/mbr命令删除GRUB。2）使用分区魔术师RartitionMagic或DM等分区工具删除Linux分区，然后将删除Linux分区后留下的可用空间分区和格式化即可。14、文件系统：1）以“

23、.”开头的文件名是银行文件，默认方式下使用ls命令并不能把它们在屏幕上显示出来，加上-a选项可以，同样在默认的情况下，Shell通配符并不匹配这类文件名。2）使用file命令可以确定指定文件的类型，形式如下：file 文件名文件名，每个目录的第一项都表示目录本身，并以“.”作为它的文件名，每个目录的第2项的名字是“.”，表示该目录的父目录。3）ln命令用来创建链接，默认情况下，无参数的ln命令创建硬链接，ln命令会增加链接数，rm命令会减少链接数，一个文件除非链接数位0，否则不会从文件系统中删除。对硬链接有如下限制：不能对目录文件作硬链接； 不能再不同的文件系统之间作硬链接。15、文件系统及其

24、安装：1）建立文件系统，当硬盘完成分区后，应该在该分区上建立文件系统，通过mkfs命令，如果需要在分区/dev/hda1上建立ext2文件系统，并检查坏块，应使用：mkfs c /dev/hda1，只有root用户才能建立或安装/卸载文件系统，可以通过ls /sbin/mk*来查看有哪些命令。2）安装文件系统，使用mount将该文件系统安装到主文件系统中，有三个主要参数：第一个为需要安装的文件系统类型，用-t fstype选项来指定； 第二个为所需访问的文件系统所在分区名，通常是位于目录/dev中的特别设备文件； 第三个为安装新文件系统的路径名，也就是放置新文件系统的安装点。3）卸载文件系统，

25、在关闭系统之前，为了保证文件系统的完整性，所有安装的文件系统都必须被卸载，通常在/etc/fstab文件中定义的文件系统都能够自动卸载，但是手工mount的文件系统，在关闭系统之前必须手工卸载，格式为：umount 分区名或分区的安装点。对于正在使用的文件系统，不能使用umount卸载。16、用户操作，增加一个用户为useradd username; passwd username; 用useradd增加一个用户后应该立刻用passwd给新用户修改密码，没有密码的新账号将不能使用。17、修改用户Shell使用chsh命令可以修改自己的Shell，只有管理员才能用chsh username为其他

26、用户修改Shell设置，注意，指定的Shell必须是列入/etc/shells文件中的Shell，否则该用户将不能登录。也可以使用usermod命令修改Shell信息，如下所示：usermod s (newshellpath) (username)，详细参数参考usermod -help 。18、删除或禁止用户账户用userdel，如果想同时删除该用户的主目录以及其中所有内容，要使用-r开关来递归删除，注意：无法删除已经进入系统的用户，如果想强行完成，需要先killall有关他的进行，然后再运行userdel命令。19、暂时禁止某个账号，可以使用下列方法：1）使用无效的Shell，例如使用us

27、ermod s newshell username将用户的Shell改为/bin.false。2）使该账户过期，如果使用影子口令，可使用usermod e MM/DD/YY username命令使该账号过期。如果想禁止所有账号（root除外）的访问，可以创建一个名为/etc/nologin的文件，说明系统暂时不允许访问。注意，必须确认还能用root直接登录才使用这个办法。例如：创建和修改用户账号，使其有一个nologin shell：由于安全原因，有时候需要让你的用户不能登录服务器，一个简单的方法就是配置他们的账号，把登录的shell设置成/sbin/nologin，要修改一个已经存在的账号命

28、令如下：usermod s /sbin/nologin username,也可以创建一个文件/etc/nologin，然后用命令：usermod s /etc/nologin username。如果需要在用户创建时就默认为/sbin/nologin登录，可以用useradd D s /sbin/nologin，这样在使用useradd增加新用户时，就不需用-s指定登录shell了，缺省的登录shell就是/sbin/nologin，这个配置仍然允许用户执行重要的日常任务，比如收发信件、FTP、访问网路共享目录和其他任务，它只是阻止用户登录服务器。20、硬件资源管理1）在linux系统中，对硬件

29、标识的判别依据，Linux对硬件的识别是以芯片组的厂商为依据的，而非硬件的品牌，例如，市场上可以看到各种各样的显卡，其实他们的芯片大多是ATI和NVIDIA的，所有的ATI和NVIDIA的驱动都是ATI和NVIDIA开发出来的。2）在Linux中查看硬件信息的工具：PCI设备查看工具用命令lspci ,选项为-b和-v，如果想知道硬件功能更为详细的内容，可以用-v选项，例如查看硬件的irq中断情况。3）存储设备查看和操作工具：主要有：fdisk、parted、cfdisk等，如命令fdisk l。4）系统控制信息查看工具：dmesg是一个显示内核缓冲区系统控制信息的工具，例如系统在启动时的信息

30、会看到/var/log/。dmesg c命令可用来清除缓冲区，下次开机时还会自动生成。5）硬件浏览器：RedHat Enterprise Linux AS4自带了一个查看当前硬件配置的图形化浏览器，在应用程序/系统工具/硬件浏览器中可以查看。6）硬件驱动存放的位置，硬件驱动是必须由内核支持的，无论是用户自己安装驱动，还是内核自带的驱动都是如此，硬件驱动如果是直接植入内核的，驱动目录位于：/lib/modules/内核版本/kernel/目录或/lib/modues/内核版本/kernel/drivers目录中。只有驱动在内核中以模块的方法支持的，或者用户自己安装的驱动，驱动目录才会位于/lib

31、/modules/相应的目录下，如果是直接置入内核的，不会出现在/lib/modules驱动相关的目录。7）硬件不被系统支持怎么办？一种是下载驱动自己安装，Linux的驱动大多是开源社区开发的。二是也可能要重新编译内核，主要是按照驱动内部的说明文件进行，如果要重新编译内核，最好先把硬件情况摸清楚。第三章 目录服务的配置和应用第四章 文件和打印服务的配置与应用第五章 DHCP服务的配置与应用1、DHCP是一个基于广播的协议，它工作时要求客户机和服务器进行交互，由客户机通过广播向服务器发起申请IP地址的请求，然后由服务器分配一个IP地址及其他的TCP/IP设置信息。它的操作可以归结为4个阶段：IP

32、租用请求、IP租用提供、IP租用选择和IP租用确认。1）IP租用请求：客户计算机如果设置为自动获取IP地址，DHCP客户机的TCP/IP首次启动时，就要执行DHCP客户程序，检查自己当前是否租用了一个IP地址，如果没有，它就向DHCP请求一个租用。由于该客户并不知道DHCP服务器的地址，所以会用255.255.255.255作为目标地址，源地址使用0.0.0.0，在网络上广播一个消息，包含客户计算机的媒体访问控制地址，以及它的NetBIOS名字，以提供DHCP服务器进行分配。2）IP租用提供：当DHCP服务器受到一个来自客户的IP租用请求时，DHCP服务器会根据自己的作用域地址池为该客户分配一

33、个IP地址，将这些IP地址、子网掩码、租用时间等信息，按照DHCP提供的硬件地址发送回DHCP客户机，在这个过程中，DHCP服务器没有对客户计算机进行限制，因此客户机能受到多个IP地址提供的信息。3）IP地址租用选择：如果子网还存在其他DHCP服务器，那么客户机在接收某个DHCP服务器的消息后，它会广播一条包含提供租用的服务器的IP地址的消息，在该子网中通告所有其他DHCP服务器它已经接收了一个地址的提供，其他DHCP服务器在接收到这条消息后，就会撤销为该客户提供的租用。然后把位客户分配的租用地址返回到地址池中，该地址将可以重新作为一个有效地址提供个别的计算机使用。4）IP租用确认：DHCP服

34、务器接收到来自客户的选择消息，如果没有发生例外，它就开始配置过程的最后一个阶段，这个确认阶段由DHCP服务器发送一个DHCPACK包给客户，该包涵盖一个租用期限和客户所请求的所有其他配置信息，至此，完成TCP/IP配置。注意：由于DHCP以来于广播信息，因此在一般情况下，客户机和服务器应该位于同一个网络之内，然而可以设置网络中的路由器转发BootP广播包，使得服务器和客户机可以位于两个不同的网络中，另一个更好的方法是使用DHCP中转计算机。2、DHCP服务器的安装：rpm ivh dhcp-3.0.1-12_EL.i386.rpm; rpm ivh dhcp-devel-3.0.1-12_EL

35、.i386.rpm，服务的启动关闭和重启：/etc/rc.d/init.d/dhcpd stop; 3、DHCP服务的配置：配置文件是/etc/dhcpd.conf，默认情况下，此文件是不存在的，用户必须手工建立该文件，不过系统中有一个该文件的模板，位置是：/usr/share/doc/dhcpd-3.0.1/dhcpd.conf.sample，把这个文件复制到/etc/dhcpd.conf即可。4、/etc/dhcpd.conf参数：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户：ddns-update-style配置DHCP-DNS互动更新模式；default-lease

36、-time指定默认租赁时间的长度，单位为秒；max-lease-time指定最大租赁时间长度；hardware指定网卡接口类型和MAC地址；server-name通知DHCP客户服务器名称；get-lease-hostnames flag检查客户端用的IP地址；fixed-address IP分配给客户端一个固定的地址；authritative拒绝不正确的IP地址的要求。5、/etc/dhcpd.conf中的声明：用来描述网络布局、提供客户的IP地址等;share-network用来告知是否一些子网共享相同的网络；subnet描述一个IP地址是否属于该子网；range 起始IP 终止IP 提供

37、动态分配IP的范围；host 主机名称：参考特别的主机；group为一组参数提供声明；allow unknown-clients;deny unknown-client 是否动态分配IP给未知的使用者；allow bootp; deny bootp是否响应使用者查询；filename开始启动文件的名称，应用于无盘工作站；next-server设置服务器从阴道文件中装入主机名，应用于无盘工作站。6、/etc/dhcpd.conf中的选项：配置DHCP可选参数，全部用option关键字作为开始：subnet-mask为客户端设定子网掩码；domain-name为客户端指明DNS名字；domain-

38、name-servers为客户端指明DNS服务器IP地址；host-name为客户端指定主机名称；routers为客户端设定默认网关；broadcast-address为客户端设定广播地址；ntp-server为客户端设定网络时间服务器的IP地址；time-offset为客户端设定和格林尼治时间的偏移时间。注意：如果客户端使用的是Windows操作系统，不要为其指定主机名称，即不要选择host name选项。7、设置IP作用域：设定一个IP地址的范围，当DHCP客户端请求IP地址时，DHCP服务器将从此段范围提取一个尚未使用的IP地址佩给DHCP客户端：subnet 网络号 netmask 子

39、网掩码 指定range 起始IP 终止IP 例如：Subnet 192.168.1.0 netmask 255.255.255.0 Range dynamic-bootp 192.168.1.10 192.168.1.100;Range dynamic-bootp 192.168.1.150 192.168.255.200;8、设置客户端的IP选项：Option routers 192.168.6.5 #设置默认网关的IP地址Option subnet-mask 255.255.254.0 #设置子网掩码Option nis-domain “BigEye.org” #设置nis服务器的域名Op

40、tion domain-name “BigEye.org” #设置dhcp客户端的dns域名Option domain-name-servers 192.168.6.5 #设置dns服务器的IPOption broadcast-address 192.168.6.255#设置dhcp客户端在该IP子网中的广播Default-lease-time 3600 #设置默认的租约时间长度；Max-lease-time 7200 #设置最大的租约期限Host computer1Hardware Ethernet 12:55:56:79:AC:BD; #绑定的网卡地址Fixed-address 192.1

41、68.16.20#绑定的IP地址9、分配多网段IP地址：在实际应用中可能会遇到在一个比较大的物理网络中存在多个IP子网，而且每个子网中都需要用DHCP服务器的服务来分配IP地址。一种常用的方法是在每个网段中都设一个DHCP服务器，很显然浪费资源；另一方法是使用DHCP的中继代理功能，它允许将无DHCP服务器的子网内的DHCP客户请求转发到其他子网内的一个或多个DHCP服务器。实现方法是在每个子网都设置一台计算机作为DHCP中继代理。网络中的主机将IP地址请求发给中继代理，由中继代理与DHCP服务器联系将获得的IP地址再发给请求的主机。10、设置DHCP中继代理：DHCP的中继代理允许将无DHC

42、P服务的子网内的DHCP和BOOTP请求转发给其他子网内的一个或多个DHCP服务器当某个DHCP客户请求信息时，DHCP中继代理把该请求转发给DHCP中继代理启动时所指定的DHCP服务器。当某个DHCP服务器返回一个回应时，该回应被广播或单播给发送最初请求的网络。除非使用INTERFACES指令在/etc/sysconfig/dhcprelay文件中指定了接口，DHCP中继代理监听所有接口上的DHCP请求，启动DHCP中继代理：service dhcprelay start。指定DHCP中继代理：一般情况下，它监听所有接口上的DHCP请求，当然也可以向某个子网指定DHCP中继代理。加入某个DH

43、CP服务器位于网络接口为eth0的子网内，那么就可以用dhcprelay向eth1和eth2连接的子网内提供DHCP服务：dhcprelay i eth1 i eth2 192.168.1.1。这里的IP地址所指定的是主机为eth0连接的子网内的DHCP服务器。如果没有-i表示向所有子网提供服务。第9章 FTP服务的配置与应用1、FTP的具体工作过程如下：（1）FTP服务器运行FTPd守护进程，等待用户的FTP请求。（2）用户运行FTP命令，请求FTP服务器为其服务。如ftp 202.118.2.179（3）vsFTPd守护进程 用户的FTP请求后，派生出子进程FTP与用户进行FTP交互，建立

44、文件传输控制连接，使用TCP端口21.（4）用户输入FTP子命令，服务器接收子命令，如果命令正确，双方各派生一个数据传输进程FTP-DATA建立数据连接，使用TCP端口20，进行数据传输。（5）本次子命令的数据传输完，拆除数据连接，结束FTP-DATA进程。（6）永固继续输入FTP子命令，重复（4）（5）过程，直至用户输入quit命令，双方拆除控制连接，结束文件传输，结束FTP进程。2、FTP的主动模式和被动模式主动模式即standard模式，也称PORT方式，另一种为被动模式，即passive模式，也称PAVS方式。主动模式FTP的客户端发送PORT命令到FTP server，被动模式FTP

45、的客户端发送PASV命令道FTP Server。它们的工作原理如下：主动模式FTP客户端首先和FTP Server的TCP 21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。被动模式在建立控制通道的时候和主动模式类似。当客户端通过这个通道发送PASV命令的时候，FTP server打开位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTP server

46、将通过这个端口进行数据的传送。这个时候FTP server不再需要建立一个新的和客户端之间的连接。注意：主动模式中数据连接是服务器端发起的（客户端数据端口已知），所以称为主动模式，服务器建立的新连接；被动模式中数据连接是客户端发起的（服务器端的数据传输端口已知），所以称为被动模式，由客户端建立新的连接。存在的问题：很多防火墙在设置的时候都不允许接收外部发起的连接，所以FTP的主动模式在内部网络的机器通过防火墙出去的时候受到了限制，因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接，造成无法工作。当然也可以设置成功，首先要创建一条规则就是允许内部的IP连接外部的IP的21端口；第二

47、条就是禁止外部IP的TCP 20端口连接内部IP的小于1024的端口，这条是为了防止外部连接内部的常规端口；第三条验证ACK是否等于1.如果安全的配置非常困难，这个时候就要用被动模式，但是管理员也可能不想使用PASV模式，因为这个时候FTP Server会开放一个随机的高端口，尽管在IIS4和IIS5里面的端口范围是1024-5000，但是许多FTP Server的端口范围达到了1024-65535，这个时候在这个主动开放的随机端口上是有完全的访问权限的。如果对安全要求较高，建议采用主动模式。主动模式被动模式3、配置文件的路径为/etc/vsftpd/vsftpd.conf，其中可以配置选项，

48、如anonymous_enable=YES，表示允许匿名登录，每个选项设置为一行，“=”两边不能留空白符；FTP服务可以通过/etc/init.d/vsftpd start或service vsftpd start启动；也可以设置自动启动：执行ntsysv命令自动服务配置程序，找到vsftpd服务，按空格键在其前面加上“*”号，然后按Tab键，选择Ok即可。4、vsftpd配置：配置文件在/etc/vsftpd/vsftpd.conf1）监听地址与控制端口：listen_address=ip address在vsftpd使用独立（standalone）模式（就是由用户独立控制vsftpd的运行，它的启动不经过系统xinetd的连接中转，这样的服务尽可能快的响应客户端的请求，适合于FTP负载压力较大的情况）下有效。此参数定义了在主机的哪个IP地址上