Linux應(yīng)用基礎(chǔ)教程（基于CentOS 7）課件 梁如軍 第11、12章 DHCP和DNS服務(wù)、FTP服務(wù)和NFS服務(wù)

第11章

DHCP和DNS服務(wù)本章內(nèi)容要點DHCP協(xié)議DHCP服務(wù)DNS的相關(guān)概念DNS服務(wù)工作原理BIND的安裝和啟動BIND的配置語法配置常用的域名服務(wù)器BIND的測試及工具

DNS客戶端的配置2024年5月30日2CreativeCommonsLicense（BY-NC-SA）本章學(xué)習(xí)目標熟悉DHCP協(xié)議、掌握DHCP工作過程學(xué)會配置DHCP服務(wù)器及中繼代理了解大型網(wǎng)絡(luò)中DHCP服務(wù)部署理解DNS的相關(guān)概念和工作原理熟悉DNS查詢方式和域名解析過程掌握BIND的安裝、啟動和配置語法掌握常用域名服務(wù)配置掌握BIND的測試工具的使用2024年5月30日3CreativeCommonsLicense（BY-NC-SA）DHCP服務(wù)2024年5月30日4CreativeCommonsLicense（BY-NC-SA）DHCP的概念和工作過程為主機或設(shè)備分配IP地址的方法DHCP協(xié)議簡介DHCP的運行機制DHCP的相關(guān)概念DHCP的工作過程2024年5月30日CreativeCommonsLicense（BY-NC-SA）5DHCP簡介DHCP（DynamicHostConfigurationProtocol）動態(tài)主機配置協(xié)議是TCP／IP協(xié)議簇中的一種DHCP是由因特網(wǎng)工程任務(wù)組（IETF）設(shè)計的，詳盡的協(xié)議內(nèi)容參考RFC2131

和RFC1541DHCP協(xié)議主要是用來自動為局域網(wǎng)中的客戶機器分配TCP/IP信息的網(wǎng)絡(luò)協(xié)議，并完成每臺客戶機的TCP/IP協(xié)議配置TCP/IP信息包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，以及DNS服務(wù)器等。DHCP的前身是BOOTP（引導(dǎo)協(xié)議），DHCP可以說是BOOTP的增強版本2024年5月30日CreativeCommonsLicense（BY-NC-SA）6使用DHCP的優(yōu)點減少管理員的工作量避免IP沖突減少收入錯誤的可能能方便地更改網(wǎng)絡(luò)的IP網(wǎng)段移動計算機后不用重新配置網(wǎng)絡(luò)信息提高IP地址的利用率2024年5月30日CreativeCommonsLicense（BY-NC-SA）7DHCP的運行機制2024年5月30日CreativeCommonsLicense（BY-NC-SA）8IP地址1IP地址2IP地址3DHCP

數(shù)據(jù)庫IP地址2IP地址1DHCP客戶機

通過DHCP服務(wù)器動態(tài)配置IP地址DHCP

服務(wù)器非DHCP客戶機

配置靜態(tài)IP地址DHCP客戶機通過DHCP服務(wù)器動態(tài)配置IP地址DHCP的相關(guān)概念（1）DHCP客戶是指一臺通過DHCP服務(wù)器來獲得網(wǎng)絡(luò)配置參數(shù)的主機，通常是不同的客戶機或工作站。DHCP服務(wù)器是指提供網(wǎng)絡(luò)配置參數(shù)給DHCP客戶的主機。DHCP中繼代理是指在DHCP服務(wù)器和DHCP客戶之間轉(zhuǎn)發(fā)DHCP消息的主機或路由器。若要使用DHCP服務(wù)器支持跨越多重路由的子網(wǎng)，則路由器可能需要硬件升級。路由器必須支持RFC1533、RFC1534、RFC1541和RFC1542。2024年5月30日CreativeCommonsLicense（BY-NC-SA）9DHCP的相關(guān)概念（2）作用域是指一個網(wǎng)絡(luò)中的所有可分配的IP地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的IP地址范圍。作用域是服務(wù)器用來管理分配給網(wǎng)絡(luò)客戶的IP地址的主要手段。超級作用域是指一組作用域的集合，它用來實現(xiàn)同一個物理子網(wǎng)中包含多個邏輯IP子網(wǎng)的情況。在超級作用域中只包含一個成員作用域或子作用域的列表。然而超級作用域并不用于設(shè)置具體的范圍。子作用域的各種屬性需要單獨設(shè)置。2024年5月30日CreativeCommonsLicense（BY-NC-SA）10DHCP的相關(guān)概念（3）排除范圍是指作用域內(nèi)從DHCP服務(wù)中排除的有限IP地址序列。排除范圍確保在這些范圍內(nèi)的任何地址都不由DHCP服務(wù)器分配給DHCP客戶機。地址池定義DHCP作用域并應(yīng)用排除范圍之后，剩余的地址在作用域內(nèi)形成可用地址池。地址池內(nèi)的地址由DHCP服務(wù)器在網(wǎng)絡(luò)上動態(tài)指派給DHCP客戶機。保留指通過DHCP服務(wù)器的永久地址租約指派。保留確保了子網(wǎng)上指定的硬件設(shè)備始終可使用相同的IP地址。2024年5月30日CreativeCommonsLicense（BY-NC-SA）11DHCP的相關(guān)概念（4）租用是指DHCP客戶從DHCP服務(wù)器上獲得并臨時占用某IP地址的過程。租約是指客戶機可使用的被DHCP服務(wù)器指派的IP地址的時間長度，在這個時間范圍內(nèi)客戶機可以使用所獲得的IP地址。當(dāng)客戶機獲得IP地址時租約被激活。在租約過期之前，客戶機一般需要通過服務(wù)器更新其地址租約。當(dāng)租約期滿或在服務(wù)器上刪除時租約停止。租約期限決定租約何時期滿以及客戶需要用服務(wù)器更新它的次數(shù)。2024年5月30日CreativeCommonsLicense（BY-NC-SA）12DHCP的工作過程

——DHCP客戶端首次登錄網(wǎng)絡(luò)2024年5月30日CreativeCommonsLicense（BY-NC-SA）13IP租用請求和提供2024年5月30日CreativeCommonsLicense（BY-NC-SA）14IP選擇和確認2024年5月30日CreativeCommonsLicense（BY-NC-SA）15DHCP的工作過程

——DHCP租約的更新過程2024年5月30日CreativeCommonsLicense（BY-NC-SA）16DHCP的續(xù)約確認2024年5月30日CreativeCommonsLicense（BY-NC-SA）17DHCPREQUESTSourceIPAddress=7Dest.IPAddress=08RequestedIPAddress=7HardwareAddress=08004....DHCPACKSourceIPAddress=08Dest.IPAddress=7OfferedIPAddress=7ClientHardwareAddress=08004...SubnetMask=LengthofLease=8daysServerIdentifier=08DHCPOption:Router=DHCPClientDHCPServerDHCP租約的更新自動更新租約客戶租約期限已過去50%，自動嘗試更新租約當(dāng)期限過去87.5%發(fā)出廣播再次更新租約若租約已經(jīng)到期(100%)，客戶機必須立即停止使用當(dāng)前的IP地址。然后DHCP客戶機開始新的DHCP租約過程，嘗試租用新的IP地址手工更新租約Windows：ipconfig/renew和

/releaseLinux：dhclient-r<interface>2024年5月30日CreativeCommonsLicense（BY-NC-SA）18CentOS7下的DHCP服務(wù)安裝和啟動配置文件語法DHCP服務(wù)配置舉例大型網(wǎng)絡(luò)的DHCP部署2024年5月30日CreativeCommonsLicense（BY-NC-SA）19DHCP服務(wù)概覽軟件包：dhcp服務(wù)類型：由Systemd啟動的守護進程配置單元：/usr/lib/systemd/system/dhcpd.service守護進程：/usr/sbin/dhcpd端口：67（bootps）、68（bootpc）配置文件：/etc/dhcpd.conf、/var/lib/dhcpd/dhcpd.leases相關(guān)軟件包：dhclient2024年5月30日CreativeCommonsLicense（BY-NC-SA）20DHCP的安裝和啟動安裝#yuminstalldhcp配置文件/etc/dhcpd.conf（默認不存在）/usr/share/doc/dhcp-*/dhcpd.conf.example（模板）檢查語法#dhcpd-t啟動#systemctlenabledhcpd.service#systemctlstartdhcpd.service2024年5月30日CreativeCommonsLicense（BY-NC-SA）21DHCP服務(wù)的配置文件語法DHCP服務(wù)的配置文件中的三類陳述聲明：描述網(wǎng)絡(luò)的布局，描述客戶，提供客戶的地址，或把一組參數(shù)應(yīng)用到一組聲明中。參數(shù)：表明如何執(zhí)行任務(wù)，是否要執(zhí)行任務(wù)，或?qū)⒛男┚W(wǎng)絡(luò)配置選項發(fā)送給客戶。選項：配置DHCP的可選參數(shù)，以option關(guān)鍵字開頭。2024年5月30日CreativeCommonsLicense（BY-NC-SA）22DHCP配置文件中的聲明shared-network：用于告知DHCP服務(wù)器某些IP子網(wǎng)其實是共享同一個物理網(wǎng)絡(luò)。subnet：用于提供足夠的信息來闡明一個IP地址是否屬于該子網(wǎng)。range：對于任何一個需要動態(tài)分配IP地址的subnet語句里，至少要有一個range語句，用于說明要分配的IP地址范圍。host：為特定的DHCP客戶機提供IP網(wǎng)絡(luò)參數(shù)。group：為一組參數(shù)提供聲明。2024年5月30日CreativeCommonsLicense（BY-NC-SA）23DHCP配置文件中的參數(shù)ddns-update-style：配置DHCP-DNS互動更新模式default-lease-time：指定默認地址租期max-lease-time：指定最長的地址租期hardware：指定硬件接口類型及硬件地址fixed-address：為DHCP客戶指定IP地址filename：指定啟動時載入的初始啟動文件next-server：指定初始啟動文件存放的主機2024年5月30日CreativeCommonsLicense（BY-NC-SA）24DHCP配置文件中的選項domain-name：為客戶指明DNS名字domain-name-servers：為客戶指明DNS服務(wù)器的IP地址host-name：為客戶指定主機名time-offset：為客戶設(shè)置與格林威治時間的偏移時間（秒）ntp-servers：為客戶設(shè)置網(wǎng)絡(luò)時間服務(wù)器的IP地址routers：為客戶設(shè)置默認網(wǎng)關(guān)subnet-mask：為客戶設(shè)置子網(wǎng)掩碼broadcast-address：為客戶設(shè)置廣播地址2024年5月30日CreativeCommonsLicense（BY-NC-SA）25基本DHCP服務(wù)器配置舉例

——/etc/dhcpd.conf2024年5月30日CreativeCommonsLicense（BY-NC-SA）26ddns-update-stylenone;ignoreclient-updates;default-lease-time18000;max-lease-time36000;subnetnetmask{optionrouters;optionsubnet-mask;optiondomain-name"ls-al.me";optiondomain-name-servers52,;range0000;class"pxeclients"{matchifsubstring(optionvendor-class-identifier,0,9)="PXEClient";next-server52;filename"linux-install/pxelinux.0";}hostcentos2{hardwareethernet00:A0:78:8E:9E:AA;fixed-address50;}}大型網(wǎng)絡(luò)的DHCP部署在有多個網(wǎng)絡(luò)接口的服務(wù)器上實現(xiàn)DHCP多作用域管理使用DHCP超級作用域?qū)崿F(xiàn)多作用域管理設(shè)置DHCP中繼代理2024年5月30日CreativeCommonsLicense（BY-NC-SA）27設(shè)置DHCP中繼代理（1）在中繼代理上安裝包含dhcrelay的dhcp軟件包#yuminstalldhcp開啟內(nèi)核路由轉(zhuǎn)發(fā)#echo"net.ipv4.ip_forward=1">>/etc/sysctl.conf#sysctl-p2024年5月30日CreativeCommonsLicense（BY-NC-SA）28設(shè)置DHCP中繼代理（2）配置自定義的dhcrealy.service單元配置文件#cp/usr/lib/systemd/system/dhcrelay.service/etc/systemd/system/#vi/etc/systemd/system/dhcrelay.service將配置行ExecStart=/usr/sbin/dhcrelay-d--no-pid修改為如下行（指定網(wǎng)絡(luò)接口和上游DHCP服務(wù)器）ExecStart=/usr/sbin/dhcrelay-d--no-pid–ieno1677773654#systemctldaemon-reload啟動DHCP中繼代理#systemctlenabledhcrealy.service#systemctlstartdhcrealy.service2024年5月30日CreativeCommonsLicense（BY-NC-SA）29DHCP客戶端配置Windows的DHCP客戶端配置Linux的DHCP客戶端配置2024年5月30日CreativeCommonsLicense（BY-NC-SA）30DNS相關(guān)概念2024年5月30日31CreativeCommonsLicense（BY-NC-SA）IP地址和主機名轉(zhuǎn)換的方法Host表是簡單的文本文件（/etc/hosts文件），其中存放了主機名和IP地址的映射表，它通過在該文件中搜索來匹配主機名和IP地址。NIS（NetworkInformationSystem）是由SunMicrosystems開發(fā)的，它將主機表用作NIS主機數(shù)據(jù)庫，從它這里，客戶機可以得到他們所需的主機表信息。DNS（DomainNameServer）是一種新的主機名和IP地址的轉(zhuǎn)換機制，它使用一種分層的分布式數(shù)據(jù)庫來處理Internet上的成千上萬個主機和IP地址的轉(zhuǎn)換。2024年5月30日CreativeCommonsLicense（BY-NC-SA）32DNS簡介DNS（DomainNameService，域名系統(tǒng)）是一個分布式數(shù)據(jù)庫系統(tǒng)，其作用將域名解析成IP地址。域名系統(tǒng)允許用戶使用友好的名字而不是難以記憶的數(shù)字——IP地址來訪問Internet上的主機。DNS是基于客戶／服務(wù)器模型設(shè)計的。DNS協(xié)議RFC1034—DNS概念和工具RFC1035—DNS實現(xiàn)及其DNS的基本協(xié)議2024年5月30日CreativeCommonsLicense（BY-NC-SA）33DNS系統(tǒng)的組成域名空間標識一組主機并提供它們的有關(guān)信息的樹結(jié)構(gòu)的詳細說明域名服務(wù)器保持和維護域名空間中數(shù)據(jù)的程序Stub解析器解析器是簡單的程序或子程序庫，它從服務(wù)器中提取信息以響應(yīng)對域名空間中主機的查詢，用于DNS客戶2024年5月30日CreativeCommonsLicense（BY-NC-SA）34域名空間的分層結(jié)構(gòu)（正向）根域RootDomain頂級域top-leveldomain，TLD各級子域Subdomain2024年5月30日CreativeCommonsLicense（BY-NC-SA）35域名空間的分層結(jié)構(gòu)（反向）反向域（）2024年5月30日CreativeCommonsLicense（BY-NC-SA）36DNS服務(wù)器類型

——權(quán)威性服務(wù)器主域名服務(wù)器（PrimaryNameServer）是區(qū)數(shù)據(jù)的最根本的來源，是從本地硬盤文件中讀取域的數(shù)據(jù)的，它是所有輔域名服務(wù)器進行域傳輸?shù)脑?。輔域名服務(wù)器（SecondaryNameServer）通過“區(qū)傳輸（zonetransfer）”從主服務(wù)器復(fù)制區(qū)數(shù)據(jù)，輔域名服務(wù)器可以提供必需的冗余服務(wù)。所有的輔域名服務(wù)器都應(yīng)該寫在這個域的NS記錄中。殘根域名服務(wù)器（StubNameServer）與輔域名服務(wù)器類似，但只復(fù)制NS記錄而不復(fù)制主機數(shù)據(jù)。秘密域名服務(wù)器（StealthNameServer）并沒有列在這個域的NS記錄里，僅對于知道其IP地址的人可見。2024年5月30日CreativeCommonsLicense（BY-NC-SA）37DNS服務(wù)器類型

——非權(quán)威性服務(wù)器惟高速緩存服務(wù)器（Caching-onlyServer）從一個“根線索文件”加載一些根服務(wù)器的地址，并緩存這些由根服務(wù)器解析的結(jié)果并不斷累計。可以將它收到的信息存儲下來，并再將其提供給其它的用戶進行查詢，直到這些信息過期。配置中沒有任何本地的授權(quán)域的配置信息。轉(zhuǎn)發(fā)服務(wù)器（ForwardingServer）代替眾多客戶執(zhí)行查詢并創(chuàng)建一個大的緩存。2024年5月30日CreativeCommonsLicense（BY-NC-SA）38使用多種類型的

DNS域名服務(wù)器所有的服務(wù)器均設(shè)置高速緩沖服務(wù)器來提供名字的解答一些域的主服務(wù)器可以是另外一些域的輔助域名服務(wù)器一個域只能創(chuàng)建一個主域名服務(wù)器，另外至少應(yīng)該創(chuàng)建二個輔助域名服務(wù)器在網(wǎng)絡(luò)上設(shè)置高速緩沖服務(wù)器可以減少主服務(wù)器和輔助域名服務(wù)器的裝載量，以此來減少網(wǎng)絡(luò)傳輸轉(zhuǎn)發(fā)服務(wù)器一般用于用戶不希望站點內(nèi)的服務(wù)器直接和外部服務(wù)器通訊的情況2024年5月30日CreativeCommonsLicense（BY-NC-SA）39DNS區(qū)域（Zone）為了便于根據(jù)實際情況來分散域名管理工作的負荷，將DNS域名空間劃分為區(qū)域來進行管理。區(qū)域是DNS服務(wù)器的管轄范圍，是由單個域或由具有上下隸屬關(guān)系的緊密相鄰的多個子域組成的一個管理單位。DNS服務(wù)器便是以區(qū)域為單位來管理域名空間的，而不是以域為單位。一臺DNS服務(wù)器可以管理一個或多個區(qū)域，而一個區(qū)域也可以有多臺DNS服務(wù)器來管理。DNS允許DNS名域空間分成幾個區(qū)域（Zone），它存儲著有關(guān)一個或多個DNS域的名稱信息。在DNS服務(wù)器中必須先建立區(qū)域，再在區(qū)域中建立子域，以及在區(qū)域或子域中添加主機等各種記錄。2024年5月30日CreativeCommonsLicense（BY-NC-SA）40域的委托管理DNS服務(wù)的管理不是集中的，它的層次結(jié)構(gòu)允許將整個管理任務(wù)分成多份，分別由每個子域自行進行管理，也就是說，DNS允許將子域授權(quán)給其他組織進行管理。采用委托管理的優(yōu)越性，主要表現(xiàn)在：工作負載分散。將DNS數(shù)據(jù)庫分配到各個子域的域名服務(wù)器上，大幅度降低了上級或頂級域名服務(wù)器進行名字查詢的負載。提高了域名服務(wù)器的響應(yīng)速度。負擔(dān)共享使得查詢的時間大幅度縮減。提高了網(wǎng)絡(luò)帶寬的利用率。由于數(shù)據(jù)庫的分散性使得服務(wù)器與本地接近，減小了帶寬資源的浪費。2024年5月30日CreativeCommonsLicense（BY-NC-SA）41域名注冊當(dāng)我們的子網(wǎng)需要連接Internet并且需要由自己管理這個域時，就需要進行域名注冊選擇域名時必須符合RCF1123中的規(guī)定獲得域名和域名注冊的信息并進行域名注冊互聯(lián)網(wǎng)絡(luò)信息中心（NIC）：/中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）：/域名傳播DNS服務(wù)器周期性地和其他DNS服務(wù)器上的各種數(shù)據(jù)庫同步，并檢查其他服務(wù)器上的新表項域名注冊過程不是瞬時完成的，但是一個新域名大約會在3～4天內(nèi)完成傳播，能在世界各地獲得相關(guān)信息2024年5月30日CreativeCommonsLicense（BY-NC-SA）42DNS查詢模式遞歸查詢（RecursiveQuery）（給出最終結(jié)果）當(dāng)收到DNS工作站的查詢請求后，本地DNS服務(wù)器只會向DNS工作站返回兩種信息：要么是在該DNS服務(wù)器上查到的結(jié)果、要么是查詢失敗。當(dāng)本地名字服務(wù)器中找不到名字時，該DNS服務(wù)器絕對不會主動地告訴DNS工作站另外的DNS服務(wù)器的地址，而是由域名服務(wù)器系統(tǒng)自行完成名字和IP地址轉(zhuǎn)換，即利用服務(wù)器上的軟件來請求下一個服務(wù)器。如果其他名字服務(wù)器解析該查詢失敗，就由告知客戶查詢失敗。

疊代查詢（IterativeQuery）（給出最佳結(jié)果）

當(dāng)收到DNS工作站的查詢請求后，如果在DNS服務(wù)器中沒有查到所需數(shù)據(jù)，該DNS服務(wù)器便會告訴DNS工作站另外一臺DNS服務(wù)器的IP地址，然后，再由DNS工作站自行向此DNS服務(wù)器查詢，依次類推一直到查到所需數(shù)據(jù)為止。如果到最后一臺DNS服務(wù)器都沒有查到所需數(shù)據(jù)，則通知DNS工作站查詢失敗。2024年5月30日CreativeCommonsLicense（BY-NC-SA）43域名解析過程2024年5月30日CreativeCommonsLicense（BY-NC-SA）44一般而言，域名解析分為本域解析和跨域解析兩種，當(dāng)實施跨域解析時，一般本地的域名服務(wù)器會直接向根域名服務(wù)器發(fā)出查詢，這樣的操作流程會保證比較高的查詢效率。Stub解析器所有程序都可使用的通用解析程序庫由gethostbyname()和其它glibc功能提供不具備更高性能的訪問控制能力，例如簽發(fā)或加密數(shù)據(jù)包可以查詢由glibc支持的任何名稱服務(wù)讀取/etc/nsswitch.conf來決定查詢名稱服務(wù)的順序默認配置：hosts:filesdnsNIS域名和DNS域名通常有所不同，這樣會簡化故障排除，避免名稱沖突2024年5月30日CreativeCommonsLicense（BY-NC-SA）45客戶端解析程序（測試工具）DNS特有的解析程序dighostnslookup讀取的配置文件控制文件/etc/host.conf配置文件

/etc/resolv.conf2024年5月30日CreativeCommonsLicense（BY-NC-SA）46/etc/host.conf常用選項Order

指定使用不同的名字解析機制的順序hosts：試圖通過查找本地/etc/hosts文件來解析名字bind：使用DNS服務(wù)器來解析名字nis：使用NIS服務(wù)來解析主機名字Alert：以off和on為參數(shù)。若為on，則任何試圖騙取IP地址的行為都通過syslog工具進行記錄Nospoof

：若在反向解析找出與指定的地址匹配的主機名，則對返回的地址進行解析以確認它確實與您的查詢地址相匹配。為了防止“騙取”IP地址，通過指定nospoofon來允許此功能2024年5月30日CreativeCommonsLicense（BY-NC-SA）47/etc/host.conf舉例說明order選項指明先使用DNS再使用Host表解析主機名Nospoof選項表明要檢查IP欺騙Alert選項表明若檢測出IP欺騙，則將警告信息進行記錄2024年5月30日CreativeCommonsLicense（BY-NC-SA）48order bind hostsnospoofonalerton/etc/resolv.conf常用選項nameserver：列出域名服務(wù)器的IP地址最多可以出現(xiàn)三個nameserver指令domain

：定義默認的域名(主機的本地域名)options

rotate

：打開客戶端輪詢查詢選項。當(dāng)nameserver中定義多個域名服務(wù)器時，進行輪詢查詢。nochecknames：當(dāng)需要使用帶有下劃線“_”的域名時，需設(shè)置該項。2024年5月30日CreativeCommonsLicense（BY-NC-SA）49/etc/resolv.conf舉例說明首先使用nameserver參數(shù)定義了三個名稱服務(wù)器Domain參數(shù)定義了缺省域Options參數(shù)定義了不執(zhí)行RFC952名字檢測且執(zhí)行查詢輪詢2024年5月30日CreativeCommonsLicense（BY-NC-SA）50nameservernameservernameserver54domain optionsnochecknamesrotateCentOS7下的DNS服務(wù)2024年5月30日51CreativeCommonsLicense（BY-NC-SA）BIND簡介Linux下架設(shè)DNS服務(wù)器通常是使用BIND（BerkeleyInternetNameDomainService）程序來實現(xiàn)，是一款實現(xiàn)DNS服務(wù)器的開放源碼軟件在一個穩(wěn)定可靠的體系上建構(gòu)域名和IP地址關(guān)聯(lián)對DNSRFC標準的參數(shù)實現(xiàn)可以在chroot環(huán)境下運行BIND是互聯(lián)網(wǎng)上使用最廣泛的DNS服務(wù)器主頁：/software/bind2024年5月30日CreativeCommonsLicense（BY-NC-SA）52DNS服務(wù)概覽軟件包：bind、bind-utils、bind-chroot服務(wù)類型：由Systemd啟動的守護進程配置單元：

/usr/lib/systemd/system/named.service守護進程：/usr/sbin/named,/usr/sbin/rndc端口：53(domain),953(rndc)配置文件：(chroot目錄：/var/named/chroot/)/etc/named.conf/etc/rndc.key/var/named/*2024年5月30日CreativeCommonsLicense（BY-NC-SA）53與DNS服務(wù)相關(guān)的軟件包bind：DNS服務(wù)器軟件包。bind-utils：DNS測試工具，包括dig，host與nslookup等。bind-chroot：使BIND運行在指定的目錄中的安全增強工具。2024年5月30日CreativeCommonsLicense（BY-NC-SA）54BIND的安裝和啟動安裝#yuminstallbindbind-utils啟動#systemctlstartnamed#systemctlenablenamed查看域名服務(wù)器的運行狀態(tài)#rndcstatus2024年5月30日CreativeCommonsLicense（BY-NC-SA）55CentOS7中

BIND的默認配置默認提供一個惟高速緩存服務(wù)器的配置2024年5月30日CreativeCommonsLicense（BY-NC-SA）56分類文件說明配置文件/etc/named.conf主配置文件/etc/named.rfc1912.zones被主配置文件包含的符合rfc1912區(qū)聲明文件密鑰文件/etc/rndc.key被rndc使用的key文件。若沒有rndc.conf文件（默認沒有），rndc命令將使用此文件中的key/etc/named.root.key包含根區(qū)的DNSSECkey/etc/named.iscdlv.key包含ISCDLV（）的DNSSECkey區(qū)數(shù)據(jù)庫文件/var/named/named.ca根服務(wù)器線索文件/var/named/named.localhostlocaldomain正向區(qū)數(shù)據(jù)庫文件，用于將名字localhost.localdomain轉(zhuǎn)換為本地回送IPV4地址

/var/named/named.loopback反向區(qū)數(shù)據(jù)庫文件，用于將本地回送IPV4地址

轉(zhuǎn)換為名字localhost/var/named/named.empty廣播地址的反向區(qū)數(shù)據(jù)庫文件BIND的配置語法2024年5月30日57CreativeCommonsLicense（BY-NC-SA）/etc/named.conf中常用的

配置語句定義客戶端匹配列表名稱——acl有四個無需定義即可使用的默認匹配列表名稱any（所有主機）none（不匹配任何主機）localhost（本地主機）localnets（本地網(wǎng)絡(luò)上的所有主機）定義全局配置選項——options定義區(qū)聲明——zone包含其他文件到本文件——include2024年5月30日CreativeCommonsLicense（BY-NC-SA）58/etc/named.conf

——全局配置選項（options）常用的配置子句定義服務(wù)器區(qū)配置文件的工作目錄（directory）定義查詢和傳輸?shù)脑L問控制迭代:allow-query{match-list;};遞歸:allow-recursion{match-list;};傳輸:allow-transfer{match-list;};2024年5月30日CreativeCommonsLicense（BY-NC-SA）59options(

配置子句； 配置子句；);/etc/named.conf

——定義區(qū)聲明（zone）常用的配置子句說明一個區(qū)的類型：

typemaster|hint|slave

說明本區(qū)的數(shù)據(jù)庫文件位置：

file“filename”2024年5月30日CreativeCommonsLicense（BY-NC-SA）60zone“zone-name”IN( type 子句; file 子句;

其他子句;);區(qū)數(shù)據(jù)庫文件概述區(qū)數(shù)文件通常也稱（域名|區(qū)）數(shù)據(jù)庫文件區(qū)文件定義了一個區(qū)的所有域名信息區(qū)文件的組成資源記錄（ResourceRecords，RR）每個區(qū)文件都是由SOA

RR開始，隨后應(yīng)該包含NSRR對于正向解析文件還包括ARR,MXRR,CNAMERR等而對于反向解析文件還包括PTRRR等區(qū)文件指令簡化區(qū)文件結(jié)構(gòu)（

$INCLUDE、$GENERATE）聲明資源記錄中使用的值（

$ORIGIN、$TTL）2024年5月30日CreativeCommonsLicense（BY-NC-SA）61區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式name字段.

：根域@：默認域在/etc/named.conf的zone聲明中指定可以在文件中使用$ORIGINdomain來說明默認域標準域名或是以“.”結(jié)束的完全域名或是一個相對域名空：使用前一個RR記錄中的name字段值2024年5月30日CreativeCommonsLicense（BY-NC-SA）62[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)）ttl字段RR的壽命字段定義該資源記錄中的信息存放在高速緩存中的時間長度若本RR省略此字段使用由$TTL區(qū)文件指令的生存周期值使用本區(qū)文件的SOARR中的最小ttl值通常為了減少錄入量，將$TTL86400放在區(qū)塊文件的第一行，可以省略每個RR的TTL2024年5月30日CreativeCommonsLicense（BY-NC-SA）63[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)2）type字段SOA(StartOfAuthority)A(Address)CNAME(CanonicalNAME)MX(MaileXchanger)NS(NameServer)PTR(domainnamePoinTeR)HINFO(HostINFOrmation)2024年5月30日CreativeCommonsLicense（BY-NC-SA）64[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)3）rdata字段指定與這個資源記錄有關(guān)的數(shù)據(jù)數(shù)據(jù)字段的內(nèi)容取決于類型字段以括號（）包含的多個值的rdata可以分寫成多行，如SOARR2024年5月30日CreativeCommonsLicense（BY-NC-SA）65[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——SOARR的格式與說明Hostname：存放本資料的主機名字Contact：管理域的管理員的郵件地址，因為“@”在文件中有特殊含義，所以郵件地址abc@寫為

2024年5月30日CreativeCommonsLicense（BY-NC-SA）66[name][ttl]IN SOA Hostname Contact (

Serial；本區(qū)信息文件的版本號

Refresh；輔助域名服務(wù)器多長時間更新數(shù)據(jù)庫

Retry；若輔助域名服務(wù)器更新數(shù)據(jù)失敗，多長時間再試

Expire；若輔助域名服務(wù)器無法從主服務(wù)器上更新數(shù)據(jù)，原有的數(shù)據(jù)何時失效

Minimum；若資源記錄欄未設(shè)定ttl，則以這里提供的時間為準

)區(qū)數(shù)據(jù)庫文件注意事項應(yīng)該為區(qū)文件選擇一個能夠反映管轄域的文件名如：管轄域的文件為.zone一般無需從空文件開始創(chuàng)建區(qū)文件可以復(fù)制bind軟件包安裝的現(xiàn)有區(qū)文件或案例模板，然后修改注釋使用匯編語言模式（;）若沒有使用“點（.）”來終止域名，BIND會在這個名稱后補充管轄域（即認為相對域名）修改了區(qū)文件后，不要忘記遞增SOARR的序列號碼并重載named服務(wù)2024年5月30日CreativeCommonsLicense（BY-NC-SA）67域名服務(wù)器的配置舉例2024年5月30日68CreativeCommonsLicense（BY-NC-SA）配置主域名服務(wù)器編輯主配置文件/etc/named.conf配置全局選項使用include包含配置文件include"/etc/named.rfc1912.zones";include"/etc/named.conf.zones";編輯配置文件/etc/named.conf.zones添加區(qū)聲明配置正向解析數(shù)據(jù)庫文件配置反向解析數(shù)據(jù)庫文件2024年5月30日CreativeCommonsLicense（BY-NC-SA）69參見教材的配置步驟主域名服務(wù)器配置技巧簡單負載均衡為同一個主機名設(shè)置多個IP地址泛域名的解析將一個域名下的所有主機、子域都被解析到同一個IP地址上加入一條以“*”為name字段的A資源記錄直接解析域名為域名本身設(shè)置A資源記錄使

的訪問成為可能2024年5月30日CreativeCommonsLicense（BY-NC-SA）70配置輔助域名服務(wù)器不能在同一臺計算機上同時配置同一個域的主域名服務(wù)器和輔助域名服務(wù)器。主配置文件與主域名服務(wù)器的配置一致修改/etc/named.conf.zones添加區(qū)聲明typeslave;file"slaves/.hosts"masters{52;};2024年5月30日CreativeCommonsLicense（BY-NC-SA）71參見教材的配置步驟域名轉(zhuǎn)發(fā)器配置選項forwarders指定要把查詢請求轉(zhuǎn)發(fā)到的遠程域名服務(wù)器的IPforwarders{ip_addr[portip_port];[ip_addr[portip_port];...]}例如forwarders{15;0;};forward設(shè)置域名轉(zhuǎn)發(fā)的工作方法forwardonly：使用forwardersDNS服務(wù)器做域名解析，如果查詢不到則返回DNS客戶端查詢失敗forwardfirst：優(yōu)先使用forwardersDNS服務(wù)器做域名解析，如果查詢不到再使用本地DNS服務(wù)器做域名解析2024年5月30日CreativeCommonsLicense（BY-NC-SA）72域名轉(zhuǎn)發(fā)器種類全局轉(zhuǎn)發(fā)器options{recursionyes;forwarder{15;0;};forwardonly;......};區(qū)轉(zhuǎn)發(fā)器zone“”IN{typeforward;forwarders{;};......};2024年5月30日CreativeCommonsLicense（BY-NC-SA）73配置區(qū)域委派

配置步驟在父服務(wù)器中，添加一個NS記錄在父服務(wù)器中，添加一個A記錄來完成授權(quán)在子服務(wù)器中，創(chuàng)建包含子域數(shù)據(jù)的區(qū)塊文件粘合記錄如果子服務(wù)器的規(guī)范名稱位于它管理的子域中，A記錄就被稱為“粘合（glue）”記錄2024年5月30日CreativeCommonsLicense（BY-NC-SA）74DNS測試及工具2024年5月30日75CreativeCommonsLicense（BY-NC-SA）DNS測試準備配置好客戶配置文件

/etc/resolv.conf啟動服務(wù)：servicenamedrestart工具熟練地使用dig、host或nslookup中的任意一個校驗DNS服務(wù)器配置在另外一個shell中運行tail-f/var/log/messages排錯在編輯了配置文件后總是應(yīng)該運行#servicenamedconfigtestconfigtest會運行兩個語法檢查工具2024年5月30日CreativeCommonsLicense（BY-NC-SA）76單獨運行兩個語法檢查工具主配置文件檢查named-checkconf-tROOTDIR/path/to/named.conf默認檢查/etc/named.conf文件示例：named-checkconfnamed-checkconf-t/var/named/chroot區(qū)文件檢查named-checkzoneorigin/path/to/zonefile示例：named-checkzonels-al.me/var/named/ls-al.me.zonenamed-checkzonels-al.me/var/named/chroot/var/named/ls-al.me.zone2024年5月30日CreativeCommonsLicense（BY-NC-SA）77域名測試程序——dig正向查詢：dig反向查詢：dig-x62SOA查詢：dig-tsoa郵件交換器查詢：

dig-tmx查詢一切：

dig-taxfrls.me.@52跟蹤DNS查詢：dig+trace2024年5月30日CreativeCommonsLicense（BY-NC-SA）78域名測試程序——host正向查詢：host反向查詢：host62SOA查詢：host-tsoaMX查詢：host-tmxNS迭代查詢：host-rtnsNS查詢：host-tnsls-al.me查詢一切：host-als-al.me2024年5月30日CreativeCommonsLicense（BY-NC-SA）79配置訪問控制2024年5月30日80CreativeCommonsLicense（BY-NC-SA）地址匹配列表（match-list）使用分號間隔的IP地址列表可以與基于主機的訪問控制安全性指令共同使用格式IP地址：網(wǎng)絡(luò)地址：192.168.0.CIDR：192.168.0/24使用嘆號（！）來代表相反的結(jié)果按順序檢查匹配列表，找到第一個匹配后就停止示例：

{;192.168.0.;!/24;};2024年5月30日CreativeCommonsLicense（BY-NC-SA）81訪問控制列表（ACL）訪問控制列表（ACL）就是一個被命名的地址匹配列表一般可以用來代替匹配列表（允許嵌套！）使用訪問控制列表可以使配置簡單而清晰，一次定義之后可以在多處使用定義ACL的最好位置

/etc/named.conf文件的開始處，include"/etc/named.conf.acls";使用用戶自己定義的訪問控制列表必須在使用之前定義acl是named.conf中的頂級語句，不能將其嵌入其他的語句2024年5月30日CreativeCommonsLicense（BY-NC-SA）82Acl語句舉例2024年5月30日CreativeCommonsLicense（BY-NC-SA）83acl"trusted"{1;};acl"classroom"{/24;trusted;};acl"cracker"{/24;};acl"mymasters"{54;};acl"myaddresses"{;;};aclbogusnets{/8;/8;/8;/16;/24;/3;/8;/12;/16;};可以使用ACL的配置語句綁定服務(wù)接口listen-onport53{match-list;};listen-on-v6port53{match-list;};允許查詢、傳輸、遞歸、動態(tài)更新allow-query{match-list;};allow-transfer{match-list;};allow-recursion{match-list;};allow-update{match-list;};阻止查詢blackhole{match-list;};2024年5月30日CreativeCommonsLicense（BY-NC-SA）84ACL使用舉例限制查詢、傳輸、遞歸防止欺騙和拒絕服務(wù)攻擊2024年5月30日CreativeCommonsLicense（BY-NC-SA）85分離式（Split）DNS配置2024年5月30日86CreativeCommonsLicense（BY-NC-SA）分離式DNS簡介可以讓不同網(wǎng)絡(luò)訪問相同域名時解析到不同的IP地址適用于對內(nèi)外網(wǎng)用戶指定不同的資源記錄，或?qū)?nèi)網(wǎng)用戶提供更多的資源記錄可以在內(nèi)網(wǎng)使用RFC1918中定義的私有地址，而在外網(wǎng)上使用公網(wǎng)地址分別對電信、網(wǎng)通的用戶指定不同的資源記錄2024年5月30日CreativeCommonsLicense（BY-NC-SA）87View語句match-clients

子句非常重要，它用于指定誰能看到本view，列表中可以使用由acl語句定義的aclname?？梢栽趘iew語句中使用一些選項，詳細信息請參考named.conf的手冊頁zone_statement子句指定在當(dāng)前view中可見的區(qū)聲明2024年5月30日CreativeCommonsLicense（BY-NC-SA）88viewview_name{match-clients{address_match_list};[view_option;...]zone_statement;...};View語句注意事項如果在配置文件中使用了view語句，則所有的zone語句都必須在view中出現(xiàn)。對同一個zone而言，配置內(nèi)網(wǎng)的view應(yīng)該置于外網(wǎng)的view之前。2024年5月30日CreativeCommonsLicense（BY-NC-SA）89分離式DNS配置舉例本例給出一個使用分離式DNS的小型公司

的配置。做如下要求：

公網(wǎng)上DNS的服務(wù)器的IP分別為

和

公司的本地私網(wǎng)使用192.168.0/24私網(wǎng)地址，00作為內(nèi)部主DNS；無論內(nèi)外網(wǎng)，將

和

都解析到公網(wǎng)地址2024年5月30日CreativeCommonsLicense（BY-NC-SA）90本章思考題簡述DHCP的工作過程。簡述如何在大型網(wǎng)絡(luò)中部署DHCP服務(wù)。簡述自動安裝服務(wù)器所需的組件。簡述DNS系統(tǒng)的組成、DNS服務(wù)器的類型。簡述DNS的查詢模式、DNS解析過程。什么是域名轉(zhuǎn)發(fā)？簡述BIND的配置文件族。簡述資源記錄的類型。2024年5月30日91CreativeCommonsLicense（BY-NC-SA）本章實驗學(xué)會配置單作用域的DHCP服務(wù)器。學(xué)會配置DHCP中繼代理。學(xué)會配置主域名服務(wù)器。學(xué)會配置輔助域名服務(wù)器。學(xué)會配置域名轉(zhuǎn)發(fā)。2024年5月30日92CreativeCommonsLicense（BY-NC-SA）進一步學(xué)習(xí)學(xué)習(xí)DHCP超級作用域的配置。學(xué)習(xí)在DHCP服務(wù)器配置中使用類（class）以區(qū)分不同的客戶類型。學(xué)習(xí)配置DNS的區(qū)域委派。學(xué)習(xí)配置SplitDNS。學(xué)習(xí)將BIND運行在chrootjail環(huán)境下的配置方法。學(xué)習(xí)BIND的基于公鑰技術(shù)的簽名技術(shù)。學(xué)習(xí)dnsmasq的安裝和配置。學(xué)習(xí)使用Cobbler（/cobbler/）2024年5月30日93CreativeCommonsLicense（BY-NC-SA）第12章

FTP服務(wù)和NFS服務(wù)本章內(nèi)容要點FTP的相關(guān)概念配置vsftpd服務(wù)器NFS的相關(guān)概念配置NFS服務(wù)器2024年5月30日95CreativeCommonsLicense（BY-NC-SA）本章學(xué)習(xí)目標理解FTP協(xié)議模型掌握FTP的數(shù)據(jù)傳輸模式及使用場合學(xué)會配置各種FTP服務(wù)器理解NFS和RPC的關(guān)系學(xué)會配置NFS目錄共享掌握NFS相關(guān)工具的使用學(xué)會掛裝NFS文件系統(tǒng)2024年5月30日96CreativeCommonsLicense（BY-NC-SA）FTP服務(wù)2024年5月30日97CreativeCommonsLicense（BY-NC-SA）FTP協(xié)議文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）標準是在RFC959說明的。協(xié)議定義了一個在遠程計算機系統(tǒng)和本地計算機系統(tǒng)之間傳輸文件的一個標準。FTP運行在OSI模型的應(yīng)用層，并利用傳輸控制協(xié)議TCP在不同的主機之間提供可靠的數(shù)據(jù)傳輸。FTP在文件傳輸中還支持斷點續(xù)傳功能，可以大幅度地減小CPU和網(wǎng)絡(luò)帶寬的開銷。2024年5月30日CreativeCommonsLicense（BY-NC-SA）98FTP協(xié)議模型2024年5月30日CreativeCommonsLicense（BY-NC-SA）99FTP協(xié)議模型（續(xù)）用戶接口（UI）：提供了一個用戶接口并使用客戶端協(xié)議解釋器的服務(wù)客戶端協(xié)議解釋器（CPI）：向遠程服務(wù)器協(xié)議機發(fā)送命令并且驅(qū)動客戶數(shù)據(jù)傳輸過程服務(wù)端協(xié)議解釋器（SPI）：響應(yīng)客戶協(xié)議機發(fā)出的命令并驅(qū)動服務(wù)器端數(shù)據(jù)傳輸過程客戶端數(shù)據(jù)傳輸協(xié)議（CDTP）：負責(zé)完成和服務(wù)器數(shù)據(jù)傳輸過程及客戶端本地文件系統(tǒng)的通信服務(wù)端數(shù)據(jù)傳輸協(xié)議（SDTP）：負責(zé)完成和客戶數(shù)據(jù)傳輸過程及服務(wù)器端文件系統(tǒng)的通信2024年5月30日CreativeCommonsLicense（BY-NC-SA）100FTP運行原理——兩種連接FTP會話存在有兩個獨立的TCP連接由CPI和SPI使用的，被稱作控制連接（controlconnection）由CDTP和SDTP使用的，被稱作數(shù)據(jù)連接（dataconnection）兩個連接可以選擇不同的合適服務(wù)質(zhì)量。如：對控制連接來說需要更小的延遲時間，對數(shù)據(jù)連接來說需要更大的數(shù)據(jù)吞吐量；而且可以避免實現(xiàn)數(shù)據(jù)流中的命令的通明性及逃逸。2024年5月30日CreativeCommonsLicense（BY-NC-SA）101FTP運行原理——控制連接控制連接主要用來傳送在實際通信過程中需要執(zhí)行的FTP命令以及命令的響應(yīng)。控制連接只需要很小的網(wǎng)絡(luò)帶寬。FTP服務(wù)器監(jiān)聽端口號21來等待控制連接建立請求?？刂七B接建立以后并不立即建立數(shù)據(jù)連接，而是服務(wù)器通過一定的方式來驗證客戶的身份，以決定是否可以建立數(shù)據(jù)傳輸。數(shù)據(jù)連接是等到要目錄列表、傳輸文件時才臨時建立的，并且每次客戶端使用不同的端口號來建立數(shù)據(jù)連接。一旦數(shù)據(jù)傳輸完畢，就中斷這條臨時的數(shù)據(jù)連接。在FTP連接期間，控制連接始終保持通暢的連接狀態(tài)。在數(shù)據(jù)連接存在期間內(nèi)，控制連接肯定是存在的；一旦控制連接斷開，數(shù)據(jù)連接會自動關(guān)閉。2024年5月30日CreativeCommonsLicense（BY-NC-SA）102主動模式和被動模式2024年5月30日CreativeCommonsLicense（BY-NC-SA）103FTP的數(shù)據(jù)傳輸模式（1）主動傳輸模式（ActiveFTP）FTP的數(shù)據(jù)連接和控制連接的方向是相反的。也就是說，是服務(wù)器向客戶端發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接?？蛻舳说倪B接端口是由服務(wù)器端和客戶端通過協(xié)商確定的。FTP客戶端隨機開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接，然后開放N+1號端口進行監(jiān)聽，并向服務(wù)器發(fā)出PORTN+1命令。服務(wù)器接收到命令后，會用其本地的FTP數(shù)據(jù)端口（通常是20）來連接客戶端指定的端口N+1，進行數(shù)據(jù)傳輸。2024年5月30日CreativeCommonsLicense（BY-NC-SA）104FTP的數(shù)據(jù)傳輸模式（2）被動傳輸模式（PassiveFTP）FTP的數(shù)據(jù)連接和控制連接的方向是一致的。也就是說，是客戶端向服務(wù)器發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接?？蛻舳说倪B接端口是發(fā)起這個數(shù)據(jù)連接請求時使用的端口號。FTP客戶端隨機開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接，同時會開啟N+1號端口。然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動模式。服務(wù)器收到命令后，會開放一個大于1024的端口P進行監(jiān)聽，然后用PORTP命令通知客戶端，自己的數(shù)據(jù)端口是P?？蛻舳耸盏矫詈螅瑫ㄟ^N+1號端后連接服務(wù)器的端口P，然后在兩個端口之間進行數(shù)據(jù)傳輸。被動模式的FTP通常用在處于防火墻之后的FTP客戶訪問外界FTP服務(wù)器的情況。2024年5月30日CreativeCommonsLicense（BY-NC-SA）105FTP服務(wù)的使用者（1）本地用戶（real用戶）本地用戶既可以登錄Shell，又可以FTP登錄。本地用戶可以通過輸入自己的賬號和口令來進行授權(quán)登錄。當(dāng)授權(quán)訪問的本地用戶登錄系統(tǒng)后，其登錄目錄為用戶自己的家目錄（$HOME）。本地用戶既可以下載又可以上傳。2024年5月30日CreativeCommonsLicense（BY-NC-SA）106FTP服務(wù)的使用者（2）虛擬用戶（guest用戶）如果用戶在遠程FTP服務(wù)器上擁有賬號，且此賬號只能用于文件傳輸服務(wù)，則稱此用戶為虛擬用戶或Guest用戶。虛擬用戶可以通過輸入自己的賬號和口令來進行授權(quán)登錄。當(dāng)授權(quán)訪問的虛擬用戶登錄系統(tǒng)后，其登錄目錄為服務(wù)器為其指定的目錄。通常情況下，虛擬用戶既可以下載又可以上傳。2024年5月30日CreativeCommonsLicense（BY-NC-SA）107FTP服務(wù)的使用者（3）匿名用戶（anonymous用戶）如果用戶在遠程FTP服務(wù)器上沒有賬號，則稱此用戶為匿名用戶。若FTP服務(wù)器提供匿名訪問功能，則匿名用戶可以通過輸入賬號（anonmous或ftp）和口令（用戶自己的E-Mail地址）來進行登錄。當(dāng)匿名用戶登錄系統(tǒng)后，其登錄目錄為匿名FTP服務(wù)器的根目錄（/var/ftp）。一般情況下匿名FTP服務(wù)器只提供下載功能，不提供上傳服務(wù)或者使上傳受到一定的限制。2024年5月30日CreativeCommonsLicense（BY-NC-SA）108Vsftpd簡介是一個安全、高速、穩(wěn)定的FTP服務(wù)器?？稍O(shè)定多個基于IP的虛擬FTP服務(wù)器。匿名FTP服務(wù)更是十分容易。不執(zhí)行任何外部程序，從而減少了安全隱患。支持虛擬用戶，且支持每個虛擬用戶具有獨立的配置?？梢栽O(shè)置為從xinetd啟動，或者是獨立ftp服務(wù)器兩種運行方式。支持PAM或xinetd/tcp_wrappers的認證方式。支持帶寬限制等。2024年5月30日CreativeCommonsLicense（BY-NC-SA）109vsftpd的安裝和啟動vsftpd的安裝#yuminstallvsftpd管理vsftpd服務(wù)#systemctl{start|stop|status|restart}vsftpd#systemctl{enable|disable}vsftpd管理基于不同配置文件的多個vsftpd服務(wù)#systemctl{start|stop|status|restart}vsftpd.target2024年5月30日CreativeCommonsLicense（BY-NC-SA）110CentOS下的vsftpd服務(wù)概覽軟件包：vsftpd服務(wù)類型：由Systemd啟動的守護進程配置單元：/usr/lib/systemd/system/vsftpd.service守護進程：/usr/sbin/vsftpd端口：21(ftp),20(ftp-data)配置文件主配置文件：/etc/vsftpd/vsftpd.conf用戶訪問控制配置文件：/etc/vsftpd/{ftpusers,user_list}PAM配置文件：/etc/pam.d/vsftpd相關(guān)軟件包和內(nèi)核模塊：tcp_wrappersip_conntrack_ftp,ip_nat_ftp2024年5月30日CreativeCommonsLicense（BY-NC-SA）111vsftpd默認的主配置文件允許匿名用戶和本地用戶登錄匿名用戶的登錄名為ftp或anonymous，口令為一個Email地址匿名用戶不能離開匿名服務(wù)器目錄/var/ftp，且只能下載不能上傳本地用戶的登錄名為本地用戶名，口令為此本地用戶的口令本地用戶可以離開自家目錄切換至有權(quán)訪問的其他目錄，并在權(quán)限允許的情況下進行上傳/下載寫在文件/etc/vsftpd/ftpusers中的本地用戶禁止登錄要使用戶在下載文件時能夠續(xù)傳文件，必須保證文件對其他用戶有讀的權(quán)限。否則，當(dāng)續(xù)傳時不能讀取已傳的服務(wù)器上的文件2024年5月30日CreativeCommonsLicense（BY-NC-SA）112vsftpd配置文件的常用參數(shù)1設(shè)置空閑的用戶會話的中斷時間idle_session_timeout=600設(shè)置空閑的數(shù)據(jù)連接的的中斷時間data_connection_timeout=120設(shè)置客戶端空閑時的自動中斷/激活連接的時間connect_timeout=60客戶端空閑1分鐘后自動中斷連接accept_timeout=60客戶端中斷1分鐘后自動激活連接2024年5月30日CreativeCommonsLicense（BY-NC-SA）113vsftpd配置文件的常用參數(shù)2關(guān)于被動模式的數(shù)據(jù)連接pasv_enable=Yespasv_min_port=50000pasv_max_port=60000設(shè)置用戶類型的訪問local_enable=<YES/NO>guest_enable=<YES/NO>anonymous_enable=<YES/NO>2024年5月30日CreativeCommonsLicense（BY-NC-SA）114vsftpd配置文件的常用參數(shù)3設(shè)置chroot2024年5月30日CreativeCommonsLicense（BY-NC-SA）115chroot_local_user=YESchroot_local_user=NOchroot_list_enable=YES1.所有用戶都被限制在其主目錄下2.使用chroot_list_file指定的用戶列表，這些用戶作為“例外”，不受限制1.所有用戶都不被限制其主目錄下2.使用chroot_list_file指定的用戶列表，這些用戶作為“例外”，受到限制chroot_list_enable=NO1.所有用戶都被限制在其主目錄下2.不使用chroot_list_file指定的用戶列表，沒有任何“例外”用戶1.所有用戶都不被限制其主目錄下2.不使用chroot_list_file指定的用戶列表，沒有任何“例外”用戶vsftpd配置文件的常用參數(shù)4vsftpd匿名用戶上傳配置anon_upload_enable=Yesanon_mkdir_write_enable=Yesanon_world_readable_only=Noanon_other_write_enable=Yes注意anon_upload_enable=YES僅能上傳。anon_mkdir_write_enable=YES僅能創(chuàng)建目錄。anon_other_write_enable=YES同時開放文件更名、刪除文件等權(quán)限。2024年5月30日CreativeCommonsLicense（BY-N