RH253 Red Hat Network サービスとセキュリティ管理
システムサービスの概要
サービス管理
サービスはいくつかの方法で管理されます。
1 init /etc/inittab /etc/rc5.d/*
による inittab の起動モード、l3:3:wait:/ による管理etc/rc.d/rc 3 対応するスクリプトを実行します
2 システム V スクリプト /etc/init.d/httpd start
3 直接コマンドで開始します
4 xinetd で実行します 例:
init によって管理される Telnet サービス (init が Linux サービスを管理する方法
)非 TCP/IP サービスを直接管理します。たとえば、仮想コンソールは
再生成する機能を提供します。
たとえば、cat /etc/inittab
仮想コンソールには再生成する機能があります。ps -t tty1
kill -9 4474が終了する
と、
結果はps -t tty1 はまだ問題ありません
。/etc/inittab
システム V サービス管理での設定を参照してください。
System V タイプのプログラムの初期化パラメータは sys v スクリプト ファイルに含まれており、スクリプトにはプログラム自体はありません
/etc/init.d/httpd start
service httpd start
whereis service
cat service
service には system V スクリプトが含まれますパス
chkcongfig は
、実行レベルでサービス定義を管理します。chkconfig --list
を使用して実行レベル定義をリストし、ブート時に httpd サービスを開始します。chkconfig httpd は、システム v サービスの現在の実行状態を変更しません。実際、各ランレベルのプリセット起動設定は / にあります。 etc/rc*.d/ ls -l /etc/rc*.d/*httpd chkconfig httpd -del各実行レベルの httpd の各リンク ファイルを削除chkconfig httpd -add各実行レベルの httpd の各リンク ファイルを追加cp / etc/init.d/httpd /etc/init.d/myprog chkconfig myprog -add
xinetd 管理サービス
スーパーデーモン
クライアントがサーバーに Telnet を要求します。telnetd が起動しません。最初に要求を xinetd に送信し、xinetd は要求を telnetd に転送します。 chkconfig xinetd デーモン
上の Telnet xinetd は、特別なネットワーク リソースを管理し、作業管理サービスを検証するために使用できます。めったに使用されないサービスのためのシステム リソースの浪費を避けるため本人確認が必要なサービスの管理に使用できる サービスに関する統計の作成とサービス イベント レコードの記録に使用できるサービスの IP ロケーションのガイドに使用できるxinetd /etc/services を使用して、どのサービスがどのポートを使用するかを設定します。libwrap.so ファイルに接続して、どのコンピュータがリクエストを許可するか、どのコンピュータがリクエストを許可しないかを決定します。これにより、セキュリティが向上します。RHEL3 の inetd を置き換えます。以前は、単一の inetd.conf 設定ファイルが使用されていましたが、現在では、xinetd は次の設定ファイルを使用しています: /etc/xinetd.conf /etc/xinetd.d/サービスごとに個別の設定ファイル。 xinetdのデフォルト制御統合プリセット制御 値/etc/xinetd.conf defaults { インスタンス = 60 同時に 60 のサービスを管理および実行できます
log_type = SYSLOG suthpriv ログ タイプ
log_on_success = HOST PID ログインが成功した場合は、IP と PID が記録されます。
log_on_failure = HOST ログインが失敗した場合は、クライアント IP が記録されます。
cps = 25 30 1 秒あたり 25 を超える接続が確立された場合、サービスは 30 秒間中断されます
}
xinetd サービス制御
/etc/xinetd.d/telnet
サービス telnet
{ flags = REUSE メモリの再利用、切断されたユーザー リソースの再利用ソケットタイプ = stream は Telnet サービスがストリームを使用してデータを処理することを意味しますwait = no 複数許可しますTelnet サービスに同時に接続するユーザーuser = root Telnet サービスは root ユーザーによって管理されます。server = /usr/kerberos/sbin/telnetd このディレクトリは Telnet の実際のプログラムです。log_on_failure += USERID ログイン失敗の記録 IP とユーザーaccount disable = yes telnet サービスが有効になっていません} the /etc/ sysconfig/ files /etc/sysconfig ディレクトリ内のファイルとサービスとの関係は何ですか? 通常、次のサービスは、サービスの実行方法を決定します。このディレクトリ内のsendmailという名前の設定ファイル
dhcpd
samba
init
syslog
[root@host ~]# cat /etc/sysconfig/syslog
#syslogd のオプション
#-m 0 は「MARK」メッセージを無効にします。
#-r はリモート マシンからのログ記録を有効にします
#-x は -r で受信したメッセージの DNS ルックアップを無効にします #
詳細については、syslogd(8) を参照してください
SYSLOGD_OPTIONS=“-r -m 0” 允许本机记录远程服务器のログ
#klogd のオプション
#-2 は、すべてのカーネル oops メッセージを 2 回出力します。klogd がデコードするために 1 回、および#
'ksymoops' で処理するために 1 回
#-x は、oops メッセージのすべての klogd 処理を完全に無効にします #
詳細については、klogd(8) を参照してください
KLOGD_OPTIONS=“-x”
SYSLOG_UMASK=077
#これを umask(1) と同様にすべてのログ ファイルに使用する umask 値に設定します。
#デフォルトでは、「グループ」と「その他」のすべての権限が削除されます。
障害分析では、
障害点を正確に見つけ出します。問題点
1. データ自体に問題があるか?
2. データに問題がない場合、プログラムに問題があるかどうかを確認する
3. OS の設定に問題があるかどうか
4. 問題があるかどうかハードウェアの問題
ログを確認する
コマンドを使用してより詳細な情報を表示することもできる
関連ドキュメントや新しくリリースされたドキュメントを確認する 関連知識を増やすセキュリティ
強化された Linux:
誰がどのファイルに何を持っているかを判断するためのオペレーティング システムとして SELinux が使用されますLinux (DAC 任意アクセス制御)、アクセス権限はユーザー、グループ、SELinux (MAC 強制アクセス制御) 環境の
その他に基づきます。権限は root によって制御されます。各プロセスまたはオブジェクト (ファイル、ディレクトリ、ネットワーク ソケット) には、セキュリティ コンテキストのセット、いくつかの追加セキュリティ情報: アイデンティティ:ロール:ドメイン/タイプ セキュリティ ポリシー (ターゲット) は、どの操作がどのセキュリティ コンテキストのアクセス許可を必要とするかを定義します。
例: /etc/passwd ファイルは、従来の状況では、SELinux 以降は誰でも読み取ることができ、制限されます。Apache ユーザーは、 sestatus を読み取ることができません。selinux ステータスを確認します。インストール オプション (インストール
オプション
) を強制します。
保護を強制します
。保護を許可します。ただし、警告のみで、保護は提供されません。
無効にすると、
SELinux が強制されたときに selinux 制御オプションが開始されません (制御オプション)
ターゲット (デフォルト) ネットワーク関連サービスのみを保護します
すべての Linux サービスを厳密に保護します
RHEL4 は現在、ターゲット ポリシーのみをサポートし、
selinux 構成の変更後に再起動が必要ですSELinux の制御は、
SELinux
を次の動作のみに制御します一部の特定のサービスに対してセキュリティ制御を行います
setenforce=0 モードを寛容に変更します
setenforce=1 モードを強制に変更します
Boolean:0=inactive 1=active
getsebool
getsebool httpd_disable_trans
setsebool
setsebool -P httpd_disable_trans =1 -P は次回の起動に影響します
これらのブール値は /etc/selinux/targeted/booleans に保存されます/etc/sysconfig/selinux は selinux SELinux コンテキスト
の設定ファイルです。 プロセス コンテキストをリストします。 ps -Zファイル コンテキストをリストします。:ls -Zファイル コンテキストを変更します。 chcon例:runcon -t httpd_t cat /etc/passwd id -Zトラブルシューティング SELinuxエラーが発生する場所を確認します。avc 拒否の/var/log/message を確認します。 avc に関する情報を生成します。ファイルまたはプロセスに正しいセキュリティ コンテキストがあるかどうかを確認します。ブール値かどうかを確認します。セキュリティ Linux で設定を調整する必要があるネットワーク システム (DNS、DHCP) を整理する値 ドメイン名 システム名 - IP 前方参照 前方分析ip - 名前 逆引き 逆引き分析により、マシンを名前ごとに論理的にグループ化できる ドメインに従って、コンピューターを多数の論理グループに分割するドメイン名に
メールのルーティング情報を提供する メール
送受信時のルーティング情報もDNSが担当
ゾーン、ドメイン、委任
ドメインはDNSサーバーの管轄下にあるドメイン コンピュータ名とIPの対応を担当する
DNSゾーンこれらのデータを保存するデータベースです
サブドメインを置くことができます 名前とIPの対応関係を維持する作業を別のDNSに委任します
1つのDNSに保存することもできます
ネームサーバー階層を維持するサーバーがあります
マスターネーム サーバー
。DNS レコードの保存と維持に使用されるサーバーは、レコードを変更できます。
DNS ゾーン レコードをバックアップするためにスレーブ ネーム
サーバーによって使用される DNS サーバー。変更できず、読み取り専用です。
すべてのスレーブ ネーム サーバーは、自身とマスター ネーム サーバーによってバックアップされた DNS ゾーン内のレコードの一貫性を保証します。
複製のプロセスは DNS ゾーン転送と呼ばれます。DNS
サーバー
のクライアントとサーバーは通常、再帰的なクエリであり、直接返されます。サーバー間で結果が正しいか存在しない
。繰り返し (反復的な) クエリが発生し、返された結果が正しい答えではなく最良の答えになる可能性がある。クライアントの
解決要求を受信する DNS にこのレコードがない場合、DNS が要求した場合ルート ゾーンの場合、ルートは最良の回答を返します。つまり、他の DNS に戻ります。他の DNS に質問すると、他の DNS は正しい最終回答を返します。
サーバーはリクエストを受信します
DNS サーバーはリクエストを受信すると、最初に DNS ゾーンをチェックし、次にキャッシュをチェックします。レコードがない場合は、ルートに直接問い合わせるか、他の DNS サーバーに転送します。 DNS サーバーにアクセスすると、正しい結果が返されます。root にアクセスすると、その答えがベストアンサーになります。
Berkeley インターネット ネーム ドメイン
インターネットでは、BIND が最も使用されている DNS サーバーです。RHEL は
BIND 9 を使用して、
安定した信頼性の高い DNS 構造を提供します。DNS
データベースを侵入の可能性から保護するために、BIND DNS サーバーで chrooted メカニズムが有効になります。
/var/named /chroot
/var/named/chroot/var/named/db*
サービス プロファイル:DNS
タイプ システム V 名サービス
パッケージ binding、bind-utils、bind-chroot
名前付きデーモン、rndc (セキュリティチェック)
スクリプト名前
付きポート/var/named/chroot 下の53(named),953(rndc)
構成
/etc/named.conf 構成ファイル
/var/named/* データベース ファイル
/etc/rndc.* DNS セキュリティ ファイルを確認
関連する caching-nameserver (キャッシュのみの DNS サーバー構成ファイルを迅速に作成します) openssl (データ保護パッケージ、DNS データのコピー時に openssl 暗号化メカニズムを使用します) binding-chroot 構成ファイル: /etc/sysconfig/ 名前付き chroot ディレクトリの定義 ROOTDIR=
/
var
/ named/chroot
BIND の設定
デフォルトの設定ファイルは /var/named/chroot/etc/named.conf です
named が開始またはリロードされると、設定ファイルの内容が自動的に読み取られます。
ディレクティブ:zones、options、access control lists を指定するテキストファイルです。 、etc
コメントは C、C++、またはシェル スタイルで指定できます。
グローバル オプション
DNS 設定ファイル /etc/named.conf にオプションのパラメータを追加できます。 options
{ directory “var/named”; # ゾーン ファイル ストレージ パスフォワーダを設定します { 10.0.1.254}; #自分で解決できない場合はここに転送されます それでも解決できない場合はルートネームサーバーに転送されますが、フォワーダーのみを設定した場合のみこの DNS クエリは、ルート ネーム サーバーをクエリしなくなりました。
allow-query {192.168.2/24;}; #“192.168.2/24”;
allowed-transfer {192.168.2/24;};
};
アクセス コントロール リスト (acl)
acl は、どの IP ユーザーをリストするリストです。使用する権限を持っています
acl を使用してリストに名前を付けます
acl "mylist" {192.168.0/24;
192.168.1/24;};
構成ファイル全体の読み取りと保守が容易になります
名前デーモン制御ユーティリティ (rndc )
は、比較的安全なリモート DNS を管理できる DNS 管理メカニズム。デフォルトでは、ループバック アドレスとローカルホストのみをリッスンします。rndc はサービスではありませんが、rndc によって提供されるキーに問題があるかどうかを確認するために、named によって使用できます。マスター
およびスレーブ ゾーン スレーブ
ゾーンのレコードはマスター ゾーンからのみコピーでき、レコードは変更できません。
マスター ゾーン:
ゾーン "example.com" { type master;ファイル "example.com.zone"; };スレーブ ゾーン:ゾーン "kernel. org” { タイプ スレーブ;マスター {192.168.0.254;};
file "slave/kernel.org.zone";
};
ゾーン ファイルの名前にはゾーン名が含まれている必要があります。通常は、ゾーンの名前とゾーン
逆引き参照ゾーンを使用してゾーンを逆解決します。プロセスは次のようになります。
前方解決
の主な機能は、管理を可能にするためです。たとえば、ログ ファイルに FQDN を表示するほうが、IP を表示するよりも理解しやすいです。セキュリティ上の考慮事項により、一部のサーバーでは、IP アドレスを使用して対応する FQDN をクエリし、その後
、 IP アドレスを照会してリクエストに接続するための FQDN 回線の IP アドレスは一致していますか? ゾーン名は
特別なドメインで終わります: in-adde.arpa
例:
zone “1.0.10.in-adde.arpa”{ typeスレーブマスター {10.0.1.254;};ファイル "slave/10.0.1 .zone"; };ルート ゾーンとルックバック ゾーンルート ゾーン: "."ゾーン ""タイプ ヒント;ファイル "named.ca"; };ループバック ゾーン:”0.0.127.in-adde.arpa”ゾーン “0.0. 127.in-addr.arpa” { タイプマスター;
file "named.local";
};
ゾーン ファイルは
通常 /var/named/chroot/var/named に保存されます。すべてのゾーン ファイルは $TTL で始まり、他の DNS が
この DNS 上の
最初のレコードをキャッシュできる時間を制限します。レコードは SOA レコードであり
、その後データ コンテンツである必要があります。
リソース レコード
[ドメイン][ttl][クラス]
ドメイン ドメインを定義するか、名前
ttl を定義します。 他の DNS がこのレコードをキャッシュするとき
、時間クラス IN はインターネット
タイプ レコード タイプ SOA を表します。 MX、A など
のデータ このレコードに記録される内容
SOA (Start of Authority)
各ゾーン ファイルには開始権限である SOA があり、
ファイルの先頭に配置され、どの DNS が保守を担当するかを記録します。このゾーン ファイルは誰が管理しますか
2001101100 シリアル番号バージョン情報
10800 リフレッシュ時間 (秒)、スレーブはマスター レコードが 3 時間以内に更新されるかどうかを確認します
3600 秒でクエリを再試行します、リフレッシュ時間が経過している場合、スレーブはいつ連絡しますかマスターサーバーが利用できないため、クエリの再試行ごとにここに接続しようとします
604800 秒で期限切れになります。期限切れ後にスレーブがマスター サーバーに接続しなかった場合、スレーブ サーバーは自身でバックアップしたゾーン ファイルを削除します (ネガティブ TTL キャッシュでクエリできないレコードの長さ) NS (
名前
)サーバー)
定義 どの DNS サーバーが特定のドメインの解決を担当するか、各ゾーンにドメイン サーバーを指す NS レコードが少なくとも 1 つあり、
マスターがダウンしているときにゾーン内のスレーブ サーバーを指す NS レコードを指定しますまたはサービスを提供できない サービス example.com を提供する DNS サーバーが存在する可能性があります
。 IN NS ns.example.com.
2 つの NS レコードがある場合、最初のレコードはマスターを指し、2 番目のレコードはマスターを指します。主
なレコード タイプ
A レコードはホスト名を IP アドレスにマップします。
mail IN A 192.168.0.2 メールがドットで終わらない場合、システムは自動的にサフィックスを追加して mail.example.com
ns.example.com IN A 192.168になります。 .0.3 完全なホスト名を入力する場合は、
CNAME をドットで終了する必要があります。 records
www IN CNAME ns1
dns IN CNAME ns.example.com は通常
、このホストが提供するサービスに基づいて
PTR レコードのエイリアスを作成します。
3.0 IN PTR ns.example.com.
MX レコード
example.com. IN MX 5 mail.example.com.
example.com. IN MX 10 mail1.example.com.
メールサーバーを提供するサーバー、優先度、番号を定義 小 優先度 高
ゾーンの例 ファイル
前方参照ゾーン
SOA レコード
NS レコード
A レコード
cd /var/named/chroot/var/named/
vi example.com.zone
[root@hostnamed]# vi example.com.zone
$TTL 86400
@ IN SOA の例.com. root.example.com. { 20080573100 ;シリアル番号10800 ;リフレッシュ スレーブ3600 ;再試行クエリ604800 ;有効期限0 ;負の TTL } @ IN NS ns.example.com.ns IN A 192.168.8.3 ls -l example.com.zone
-rw-r–r-- 1 root root 320 03-31 12:49 example.com.zone
このファイルの権限を変更する必要があります
chown names:named example.com.zone
逆引き参照ゾーン
SOA レコード
NS レコード
PTR レコード
vi 192.168.1.zone
$TTL 86400
@ IN SOA example.com.root.example.com.{ 2008052100 ;シリアル番号10800 ;リフレッシュスレーブ3600 ;再試行クエリ604800 ;有効期限0 ;負の TTL } @ IN NS ns.ex サンプル.com. 3 IN PTR ns.example.com. ls -l 192.168.1.zone chown names:named 192.168.1.zone DNS によるラウンド ロビン負荷共有 DNSラウンド ロビンと負荷分散DNS に複数の A レコードを設定して負荷を実現バランスwww 0 IN A 192.168.0.1
www 0 IN A 192.168.0.2
www 0 IN A 192.168.0.3
0 は、TTL が 0、キャッシュがないことを意味します。DNS はクライアント要求にランダムに応答します。ラウンドロビンを使用すると DNS トラフィックが非常に大きくなり、他の DNS はこのレコードをキャッシュできません。クエリがあるときは、この DNS にアクセスする必要があるため、トラフィックは比較的大きくなります。
サブドメインを委任すると、サブドメインのゾーンを
作成し、このゾーンのレコードを維持する DNS サーバーを作成できます。ユーティリティ構文設定の DNS ツールをチェックする構文設定が間違っている場合、BIND はデフォルトでnames-checkconf を起動して /var/named/chroot/etc/named.conf をチェックできません。named-checkzoneはゾーン ファイルに構文があるかどうかをチェックします。 set Errornamed -checkzone example.com /var/named/chroot/var/named/example.com.zoneキャッシュ専用ネームサーバー1台のDNSサーバーに5種類のゾーンファイル、ネットワークフォワードファイル、ネットワークリバースファイル、サーバーはファイルを解凍し、ローカル マシンはファイルを解凍し、ローカル マシンは逆になります。
ただし、キャッシュ専用ネーム サーバーでは、ゾーン ファイルを解凍しているのは Look サーバーのみです。クライアントからリクエストを受信すると、最初にローカル キャッシュでリクルートされます。設定されている他の DNS サーバーに転送されない場合は、ルートDNSに転送しない。他の DNS サーバーが結果を返すのを待ってから、結果をクライアントに返します。このレコードをキャッシュに転送するように設定する
必要があります。結果をキャッシュします。まず、caching-nameserver RPM パッケージがインストールされているかどうかを確認します (インストールされている場合は、named.conf 構成ファイル)。このファイルは、キャッシュ専用ネーム サーバーを正常に動作させることができます。さらに、ルックサーバーが配置されているパスも提供します。BIND ユーティリティ BIND は、ホスト名またはドメイン名を解決するためのツール、bind-utils RPM host を
提供
し
ます
。例: host www.sina.com.cn
host - a sina.com.cn | grep [ ;]
dig は、特定の NS サーバーのクエリに使用されます
dig @ns.redhat.com redhat.com | grep [ ;]
dig @ns .redhat.com redhat.com mx | grep [ ;]
nslookup
クエリインターネットネームサーバー、対話モードと非対話モードがあります
set type=mx
非対話型モード
nslookup yahoo.com ns.redhat.com
LABS
キャッシュ専用ネームサーバー
rpm -qa | grep caching-nameserver
rpm -qa | grep binding
vi /etc/hosts には
少なくとも 2 つのレコードがあります: 127.0.0.1 localhost.localdomain localhost
192.168.8.100 ns.example.com ns
vi /etc/resolv.conf
現在のネームサーバーが 202.102.224.68 であることを確認します。vi /var/named/chroot/etc/named.confオプションと forwards {202.102.224.68}
に変更します。 ;転送のみ; 要求パケットを転送するだけで十分で、他の DNS サーバーに要求する必要がないことを示しますnamed.conf の設定、example.zone の変更スレーブ ネーム サーバーマスター ネーム サーバー高度な BIND 機能DHCP を介した DDNS、動的に更新される DNSサーバー クライアントの IP と名前を適時に更新し、転送プロセス中に TSIG を暗号化します。
DHCP の概要では
、DHCP、BOOTTP
サービス プロファイルを提供します。DHCP
タイプ システム V マネージド サービス
パッケージ dhcp
デーモン dhcpd
スクリプト dhcpd
ポート 67 (bootps サーバー側)、68 (bootpc クライアント側)
設定 /etc/dhcpd.conf
/var/lib/dhcpd。リース
関連の dhclient
DHCP サーバーの構成/usr/share/doc/dhcp-/ の
/etc/dhcpd.conf
にはテンプレート
cp /usr/share/doc/dhcp-3.0.1/dhcp.conf.sample /etc/dhcpがあります.conf
ネットワーク セグメントの IP 範囲とネットワーク セグメントのサーバー IP をリリースする
rpm -aq | grep dhcps
ネットワーク ファイル共有サービス (NFS、FTP、SAMBA)
ネットワーク ファイル サービス (NFS) は、
/etc/exports で共有されるディレクトリを設定します
。 NFS が構成を変更するときは、コマンド exportfs -r を使用して共有リストを更新し
、マウントを使用します。コマンド NFS サーバーを使用してディレクトリを共有します。
NFS サーバーは RPC サーバーを使用します。ポートマップ サービスを使用する必要があります。
rpcinfo -p
サービス プロファイル: NFS
タイプ システム V 管理サービス
パッケージ nfs-utils
デーモン nfsd、lockd、rpciod、rpc{mountd、rquotad、statd }
portmap(111) によって割り当てられたポート、111
設定 /etc/exports
関連の portmap を開く必要があります (必須)
[root@host ~]# vi /etc/exports
/tmp *(ro,sync) #*任意のコンピュータがアクセスできることを表し、ro は読み取り専用で同期し、サーバーが変更されたときにクライアントを同期します
[root@host ~] rpcinfo -p
100000 2 tcp 111 ポートマッパー
100000 2 udp 111 ポートマッパー
100024 1 udp 1006 ステータス
100024 1 tcp 1009 ステータス
/etc/init.d/nfs start
[root@host ~]rpcinfo -p
100000 2 tcp 111 ポートマッパー
100000 2 udp 111 ポートマッパー
100024 1 udp 1006 ステータス
100024 1 tcp 1009 ステータス 100011
1 udp 771 rquotad 100011 2 udp 771 rquotad 100011 1 tcp 774 rquotad 100011 2 tc p 774 rquotad
100003
2
udp
2049 nfs
100003 3 udp 2049 nfs
100003 4 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100003 4 tcp 2049 nfs 100021
1 udp 32776 nlockmgr 100021 3 udp 32776 nlockmgr 100021 4 udp 32776 nlockmgr
100021 1
tcp 48422 n lockmgr 100021 3 tcp 48422 nlockmgr 100021 4 tcp
48422 nlockmgr 100005 1 udp 804 mountd 100005 1 tcp 807 mountd 100005 2 udp 804 mountd 100005 2 tcp 807 mountd 100005 3 udp 804 mountd 100005 3 tcp 807 mountdクライアントが NFS サーバーに接続するとき、クライアントはまずローカルの rpc.mountd を介して のポートマッパーに接続し、ポートマッパーはポート番号を c に設定すると、クライアントの rpc.mountd が s の mountd に接続され、マウント アクションが実行されます。マウント後、c の rpciod と s の nfs がデータの読み取りと書き込みを担当し、nlockmgr がデータの読み取りと書き込みを担当します。 c と s の nlockmgr はデータの整合性を担当し、s のステータスは接続のステータスを担当します。
NFS サーバーは
/etc/exports の設定に従ってディレクトリを共有し、各行はディレクトリとアクセス設定を表します。
/data *.example.com(ro,sync) server1,redhat.com(rw,sync)
/data1 192.168.1.0/255.255.255.0(sync)
showmount -e 192.168.0.1 サーバー側で共有されているディレクトリを表示します
。 c root アカウントが NFS サーバー上にファイルを作成するとき、UID=4294967294 (2 の 32 乗マイナス 2) を使用して
root_squashing を呼び出します。s のルートと c のルートを区別するために、この関数をキャンセルしてください。/data
*.example は推奨されません。com(ro,sync,no_root_squash)
RPC: ファイアウォールが原因で受信できません。
Nfs クライアントの各ユーザーによって作成されたファイルには、名前ではなくユーザー ID のみが記録され、ユーザー情報はサーバーのユーザー ID に対して表示されます。
クライアント側 NFS
/etc/fstab は、ネットワーク内の共有リソースを追加して、
vi /etc/fstab
192.168.0.1:/opt /nfsdata nfs ro,soft,intr,timeo=1 0 0
ソフトの起動時に自動的にマウントできます。 error はエラー メッセージを返します。hard(デフォルト) NFS にエラーがある場合は常に試行します。intr= 中断を許可します。nointr(デフォルト)= 中断を許可しません。timeo:time out(sec)
起動時、システムは /etc/rc.d/init.d/netfs を使用してネットワーク上の共有ディレクトリをマウントします。NFS
ネットワーク共有の機能は autofs サービスにも適用できます。NFS リソースが有効な場合にのみマウントされます。 NFS SERVER の高負荷を避けるため、アイドル時間が長すぎる場合は自動切断
NIS (Network Information Service) の概要
複数のサーバーにログインする必要があるユーザー Tom がいるとしますが、面倒なので NIS SERVERユーザーの責任を負うトム ユーザーを作成するだけで済みます。本人確認後、サーバーにログインできます。データが保存される場所は NIS データベースと呼ばれます。通常は 1 つのマスター サーバーと複数のスレーブ サーバーがあります。NIS はありません。サービス プロファイル: NIS タイプ システム V 管理サービス パッケージ
ypserv
デーモン
ypserv
、rpc yppasswdd
スクリプト ypserv、yppasswdd
ポートマップ
構成によって動的に割り当てられるポート /etc/sysconfig/network,/var/yp/*,/etc/ypserv confは RPC サービスでもあり、ポートマッパーを使用して C を通じて C と S の間のポートを管理します。ypbind はポートマッパーに接続し、ポートマッパーはポートを C に割り当てます。C の ypbind は認証のために S の ypserv に接続します。C のユーザーがパスワードを変更すると、C の
yppasswd
S の yppasswd に接続して変更します。NIS サーバーの
設定
portmap および ypserv RPM がインストールされているかどうかを確認します。 /etc/sysconfig/network に
NIS ドメイン名を設定します。 /var/yp/securenets にNISDOMAIN=your-domain-name という
行を挿入します。サーバーを使用する可能性があるネットワークを指定します[root @host ~]# vi /var/yp/securenets 255.255.255.0 192.168.0.0 start ypserv /etc/init.d/ypserv startマスターサーバーの構成NIS データベースは /etc/passwd,/etc/ on NIS SERVER シャドウ変換は/var/yp/ に配置されます。変換するファイルは /var/yp/Makefile に設定されます。ユーザー、グループ、およびホスト名の情報のみを変換したいと仮定すると、/var/yp/Makefile を編集できます。NOPUSH=true #In NIS を 1 つだけ、true に設定します。MINUID=500 #UID が 500 を超えるユーザーのみを変換します。MINGID=500 #GID が 500 を超えるグループのみを変換します。次に、NIS データベース /usr/lib/yp/ypinit -m を構築します。
/var/yp/ が作成され、/etc/sysconfig/network によって定義されます。
yppasswdd サービスを開始して、C 側ユーザーがパスワードを変更できるようにします
。 MASTER SEREVER が正常に動作したら、/usr/lib/yp/ypinit
を ■ MASTER データベースを SLAVE に同期するには、
SLAVE SERVER 上の example.domain.com にアクセスします。MASTER上のユーザー情報に変更がある場合は、その変更を PUSH Go to SLAVE cd /var/yp; make NIS Client 設定する必要があります。 NIS クライアントの構成方法 NIS のドメインにypbind および portmap RPM をインストールする必要がある場合は、authconfig を実行してNIS 機能を有効にし、NIS がユーザー情報を提供できるようにして、ユーザーがコンピュータにログインできるようにします。NIS SERVER および NIS DOMAIN を指定する必要があります。同時にNAME を使用する マシンの元の認証方法を維持する
NIS の /home ディレクトリをクライアント側にマウントできるため、ユーザーはコンピュータにログインするときに /home/user ディレクトリを使用できます。
vi /etc/exports
/home 192.168.0.0/255.255.255.0(rw,sync)
C ターミナル、192.168.0.1 をマウント: /home /home
マウント方法には欠点があり、NIS に大きな負担がかかります。NIS
で自動マウントに切り替えることができます。ディレクトリを作成します nishome
chmod 1777 /nishome
useradd -u 5001 -d /nishome/nis1 nis1
vi /etc/exports
/nishome *(rw,sync)
exporfs -r
vi /var/yp/Makefile
MINUID=5001
MINGID=5002
cd /var /yp;make
in client authconfig
vi /etc/auto.master
/nisome /etc/auto.nis --timeout=60
cp /etc/auto.misc /etc/auto.nis
vi /etc/auto.nis
nis1 - rw ,ソフト,内部 192.168.0.1:/nisome/nis1
nis2 -rw,soft,intr 192.168.0.1:/nishome/nis2
nis3 -rw,soft,intr 192.168.0.1:/nishome/nis3
ユーザー数が多い場合は、
* -rw,soft,intr 192.168.0.1: を使用できます。 /nishome/&
mkdir /nishome
service autofs restart
NIS トラブルシューティング
最初に /var/log 内のログ ファイルにエラーがないか確認してください
ls デフォルトのファイアウォールがまだオンになっていますが、
サービスは実行中であり、ポートマップに登録されていますか?
rpcinfo -p hostname
rpcinfo -p 192…168.0.1
指定されたホストのポートマップ情報を表示します
ypservd サービスがどのポートを使用する必要があるかに関する情報はありますか?
クライアント側では、ypthat コマンドを使用して、どの NIS SERVER が ID 認証に使用されているかを確認できます。
クライアント側で ypcat および getent を使用して、 NIS データベースの情報を表示します。
ypcat hosts #NIS ホスト情報を表示します
。 ypcat passwd #NIS パスワード情報を表示します。
getnet hosts #NIS ホスト情報を表示することもできます。
ypcat は NIS データベース情報のみをチェックします。getent は NIS データベース情報だけでなく、NIS サーバー情報もチェックします。 getent passwd #NISファイル転送プロトコル (FTP)
のすべての passwd 情報を表示します。 vsftpd – デフォルトの RHEL FTP サーバーは、デフォルトではxinetd によって管理されなくなりました。匿名ユーザーとローカル ユーザーのみに へのアクセスを許可します。ftp には、2 つのアクセス タイプがあります。匿名ユーザーは、ftp または匿名ユーザーを使用して匿名でログインできます。デフォルトでは、匿名でログインするユーザーは、変更ルート メカニズムを使用して、 / var/ftp へのアクセスを許可し、匿名ユーザーはファイルのダウンロードのみを許可され、アップロードは許可されません。ユーザー アクセスは FTP サーバー上のユーザー情報を使用してログインし、ログイン後は、この file/ に対するユーザーの権限に従って操作します。フォルダー/etc/vsftpd/vsfdpd.conf はメイン設定ファイルです#chroot_list_enable=YES ホーム ディレクトリでユーザーをロックanonymous_enable=YES 匿名ログインを許可chroot_list_file=/etc/vsftpd/chroot_list 設定に従って chroot メカニズムを有効にするユーザーを決定します次のファイルftp_banner この FTP サーバーへようこそ
ユーザーにディレクトリを切り替えるように要求する必要がある場合は、そのディレクトリに .message ファイルを追加し、次のファイルに設定します。
cat > /var/ftp/pub/.message
これは /var/ftp/pub ディレクトリであり、
root が使用されます。匿名ログイン後のディレクトリ /var/ftp であり、このディレクトリのみ使用可能
サービスプロファイル:FTP
タイプシステム V マネージドサービス
パッケージ vsftpd
デーモン vsftpd
スクリプト vsftpd
ポート 21(ftp),20(ftp-data)
設定 /etc/ vsftpd/vsftpd.conf / etc/vsftpd.ftpusers
logs /var/log/vsftpdd.log
/etc/vsftpd.ftpusers はログインするユーザーを定義できます # さまざまなディストリビューションが異なる場合があります。centos は /etc/vsftpd/ftpusers
vi /etcを使用します/vsftpd/user_list も定義されています ユーザーのログイン設定
vi /etc/vsftpd/vsftpd.conf
userlist_enable=YES #vsftpd/user_list のリストを有効にするかどうかをここで設定します
vi /etc/hosts.deny" #制限された IP を定義します
vsftpd:192.168 .1 #1 段落全体は、このマシン上の vsftpd サービスへのアクセスを許可しません
192.168.1.0/255.255.255.0
は匿名ユーザーがアップロードできます:
mkdir /var/ftp/incoming
chown root.ftp /var/ftp/incoming
chmod 730 /var/ftp/incoming
ls -ld /var/ftp/incoming
vi /etc /vsftpd/vsftpd.conf
anonymous_enable=YES
anon_upload_enable=YES
chown_uploads=YES
chown_username=誰でも
anon_umask=077
匿名ユーザーが同じ名前のファイルをアップロードしたり、以前のファイルを上書きしたりすることを防ぎます。
Samba サービス
SMB (サーバー メッセージ ブロック) プロトコルを使用して、Unix/Linux と Microsoft の間でファイルを共有するSMB サービスでは、ユーザーを認証し、対応するアクセス許可を付与するファイルとプリンターを共有する NETBIOS 名前解決を提供
する 4 つの主要なサービスが提供されます。たとえば、 Samba デーモンsmbdを参照し、ユーザーを認証して対応するアクセス許可を付与するためのWINS リソースとして機能し、ファイルとプリンターを共有できますnmbd
NETBIOS 名前解決を提供します。つまり、WINS
リソース参照
サービス プロファイルとして機能します。SMB
タイプ システム V 管理サービスパッケージ samba{-common,-client,-swat} #swat はデーモン smbd、nmbdスクリプト smb
をインストールしません。デフォルトのポート: (netbios) 137(-ns netbios)、138(-dgm data)、139(-ssn netbios session)設定 /etc/samba/smb.conf 、 /etc/samba/* 関連の system-config-samba 、samba-swatログ /var/log/samba/* samba の設定は/etc/samba/smb.conf経由で設定できますsystem-config-samba samba-swat は設定にブラウザを使用します。ポート番号 901 はsystem-config 以外の機能を提供します-samba yum の機能-y install samba-swat #swat のインストール online swat は xinetd が管理するサービスですので、まず起動し、ブラウザに http://localhost:901 と入力し、root ユーザーでログインしてください。他のディストリビューションではサポートされていません
/etc/samba/smb.conf メソッドを使用することをお勧めします。
smb.conf セクションの概要
[] smb.conf 内のさまざまな部分を区別するために
[グローバル] SMB サーバー全体の設定
[ホーム] ユーザーのホームの設定ディレクトリ
[プリンタ] プリンタ 共有設定
ファイルとディレクトリの共有を構成する
使用するいくつかのオプション: 括弧内のデフォルト値
public (no): 共有リソースへのアクセスに匿名アカウントを使用できるかどうか guest を使用できるかどうか
browsable (yes): C 端末がアクセスできるかどうかを設定ネットワーク上の共有リソースを参照する リソース
writable(no): 書き込み権限を持つかどうかを設定
printable(no): 共有プリンターか一般ファイルかを設定
グループ: ログインユーザーがどのグループをメイングループとして使用するかを設定
印刷/etc/cups/printers.confs vi /etc/samba/smb.conf [printers]コメント = プリンター プリンター= printerera有効なユーザー = jacky tom maryパス = /var/spool
の Samba サーバー上のすべてのプリンターの設定に追加します。 /printeraブラウズ可能 = いいえ
guest ok = no
writable = no
printable = yes
smb.conf を通じて共有する必要があるプリンターを設定します
echo 1234 | passwd --stdin tom tom のパスワードを 1234 に設定します
認証方法
セキュリティによるユーザー認証 =
認証なしで共有を設定します
ユーザーが使用する認証にはシャドウ データではなく、/etc/samba/smbpasswd
ドメインのローカル アカウントを使用します。 認証には NT 4.0 DC
を使用します。 Kerberos パスワードを使用して、広告が AD に渡されます。
SMB
ユーザー管理では smbpasswd コマンドを使用します
が、すでにローカル ユーザー アカウントである必要があります。 winbindd サービス アカウント。winbindd は、Linux、LDAP、AD アカウントの統合に使用されます。 サービス
tail /etc/passwd
cat /etc/samba/smbpasswd
smbpasswd -a tom
smbpasswd tom #Tom のパスワードを変更します
smbpasswd - d tom #disable tom
smbpasswd -e tom # tom
smbpasswd -x tom #delete tom
samba クライアント ツールを有効にする:smbclient
smbclient //machine/share #UNC path
>cd directory
>get file は、
ローカル エリア ネットワークでどのリソースが共有されているかを示します
smbclient -L hostname は、 smbclient -L hostname -U user%password nmblookup
の形式でパスワードを入力する必要があります。 WINS を表示するコマンド 特定のコンピュータの状況nmblookup -U WINS Server -R 'name' list all machine nmblookup * #ブロードキャスト形式で表示、ネットワーク セグメント内のすべてのコンピュータの IP をクエリsmbmount(mount) use smbmount またはSMB SERVER で共有するようにマウントします。 ローカルにリソースをマウントします。mount //server/share /mnt/smb -o username=USER%PASSWD samba を /etc/fstab にマウントします。 SMB SERVER リソースを自動的にマウントします。mkdir /mnt/smb vi /etc/fstab / /192.168.0.1/myshare /mnt/smb smbfs デフォルト、ユーザー名=tom%1234 0 0