*UbuntuLinux系統(tǒng)管理與服務(wù)器配置職業(yè)教育計算機網(wǎng)絡(luò)技術(shù)專業(yè)校企互動應(yīng)用型系列教材*項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

UbuntuLinux系統(tǒng)管理與服務(wù)器配置*項目描述

Z公司是一家剛成立不久的創(chuàng)業(yè)型公司，小李作為Linux操作系統(tǒng)的網(wǎng)絡(luò)管理員，始終覺得學(xué)習(xí)Linux服務(wù)器的網(wǎng)絡(luò)配置是至關(guān)重要的。

為了工作方便，應(yīng)及時對服務(wù)器進行維護，以保證其正常工作，因此Linux操作系統(tǒng)管理員必須掌握遠程管理服務(wù)器的方法。遠程登錄出現(xiàn)的時間較早，而且此類服務(wù)一直在網(wǎng)絡(luò)管理中發(fā)揮著非常重要的作用。管理員通過遠程的方式，能夠隨時隨地進行遠程管理操作。隨著遠程登錄服務(wù)功能的完善，使登錄服務(wù)成為互聯(lián)網(wǎng)最廣泛的應(yīng)用之一。

項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

*項目描述

本項目主要介紹網(wǎng)絡(luò)配置的相關(guān)知識和技能，包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS服務(wù)器地址及常用網(wǎng)絡(luò)命令等。本項目還深入講解了遠程登錄的原理及SSH服務(wù)器的配置和操作方法。項目拓撲圖如圖5-0-1所示。

項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

*項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

*任務(wù)5.1

配置常規(guī)網(wǎng)絡(luò)項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

任務(wù)描述Z公司部署了若干臺Linux服務(wù)器，網(wǎng)絡(luò)管理員小李按照公司的業(yè)務(wù)要求，對公司的Linux服務(wù)器進行網(wǎng)絡(luò)配置與管理，以實現(xiàn)與其他主機的通信。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)要求Linux主機要與網(wǎng)絡(luò)中其他主機進行通信，首先要進行正確的網(wǎng)絡(luò)配置。網(wǎng)絡(luò)配置通常包括主機名、IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、DNS服務(wù)器等。本任務(wù)的具體要求如下所示。

（1）兩臺計算機的信息配置見表5-1-1。

（2）使用ping命令測試server與client之間的連通性。（3）使用netstat命令查詢處于監(jiān)聽狀態(tài)的TCP連接。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

1.配置臨時IP地址在某些情況下，管理員可能只是想臨時為某個網(wǎng)絡(luò)接口配置一個IP地址，使得Linux系統(tǒng)能夠通過該接口訪問網(wǎng)絡(luò)。在Linux操作系統(tǒng)中，支持臨時IP地址的配置，但在系統(tǒng)重新啟動后，該配置信息將失效。這個任務(wù)可以通過ifconfig命令來完成。配置臨時IP地址如例5.1.1所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

2.配置靜態(tài)IP地址

在Linux操作系統(tǒng)中，一切都是文件。因此，配置網(wǎng)絡(luò)即編輯相應(yīng)的網(wǎng)絡(luò)接口配置文件。在Ubuntu中，“eth”是網(wǎng)絡(luò)接口的默認編號。網(wǎng)絡(luò)接口文件位于/etc/netplan目錄下。使用網(wǎng)絡(luò)接口配置文件配置網(wǎng)絡(luò)如例5.1.2所示。

例5.1.2：通過網(wǎng)絡(luò)接口配置文件配置網(wǎng)絡(luò)任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

在編輯好網(wǎng)卡配置文件后需要使用netplanapply命令手動重新加載絡(luò)配置。然后通過ifconfigens33命令查看IP地址等信息是否生效，如例5.1.3所示。

例5.1.3：重新加載網(wǎng)絡(luò)配置，查看IP地址信息任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

3．配置DNS服務(wù)器地址/etc/resolv.conf文件用于在DNS客戶端指定所使用的DNS服務(wù)器的相關(guān)信息。通過修改/etc/resolv.conf相關(guān)配置項，完成DNS客戶端的配置，如例5.1.4所示。例5.1.4：DNS客戶端的配置該配置文件主要包括nameserver、search和domain3個設(shè)置選項，具體說明如下所示。①domain選項：指定主機所在的網(wǎng)絡(luò)域名，可不設(shè)置。②search選項：指定DNS服務(wù)器的域名搜索列表，最多6個，可不設(shè)置。③nameserver選項：用來設(shè)置DNS服務(wù)器的IP地址，最多可以設(shè)置3個，每個服務(wù)器記錄一行。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

4．常用網(wǎng)絡(luò)配置命令1）ifconfig命令

關(guān)于ifconfig命令，前面已經(jīng)提到過。使用該命令可以查看和配置網(wǎng)絡(luò)接口。ifconfig命令是一個比較陳舊的命令，在許多Linux發(fā)行版中，已經(jīng)不太推薦使用該命令了。在默認情況下，可以通過安裝net-tools軟件包獲得該命令。ifconfig命令個配置網(wǎng)絡(luò)接口的基本語法格式如下所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

ifconfig命令的常用選項及其功能見表5-1-2。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

如果想要禁用某個網(wǎng)絡(luò)接口，可以使用down選項，如例5.1.5所示。

例5.1.5：禁用名稱為ens33的網(wǎng)絡(luò)接口任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

可以使用up選項啟用被禁用的網(wǎng)絡(luò)接口，如例5.1.6所示。

例5.1.6：啟用名稱為ens33的網(wǎng)絡(luò)接口任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

2）ip命令ip命令是Linux系統(tǒng)中比較新的、功能強大的網(wǎng)絡(luò)管理工具，這一點與ifconfig命令不同。ip命令是iproute2軟件包中的核心命令。通過ip命令，可以顯示或操縱Linux主機的路由、網(wǎng)絡(luò)設(shè)備、策略路由、多播地址和隧道。ip命令的基本語法格式如下所示。

任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

ip命令的常用選項及其功能見表5-1-3。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

ip命令的常用對象及其功能見表5-1-4。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

網(wǎng)絡(luò)設(shè)備包括交換機、路由器以及網(wǎng)絡(luò)接口等。ip命令最常管理的網(wǎng)絡(luò)設(shè)備就是網(wǎng)絡(luò)接口了。顯示網(wǎng)絡(luò)接口的運行狀態(tài)如例5.1.7所示。

例5.1.7：顯示網(wǎng)絡(luò)接口的運行狀態(tài)任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

使用ip命令也可以禁用或啟用網(wǎng)絡(luò)接口，如例5.1.8所示。

例5.1.8：禁用或啟用網(wǎng)絡(luò)接口任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

使用ip命令可以管理網(wǎng)絡(luò)接口的IP地址，包括添加、刪除、顯示以及清除等，其中需要使用address對象。通常情況下address可以縮寫為a、add或者addr。ip命令的基本用法，如例5.1.9所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

3）netstat命令netstat命令用來查看各種網(wǎng)絡(luò)信息，包括網(wǎng)絡(luò)連接、路由表以及網(wǎng)絡(luò)接口的各種統(tǒng)計數(shù)據(jù)等。netstat命令的基本語法格式如下。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

netstat命令的常用選項及其功能見表5-1-5。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

netstat命令的基本用法如例5.1.10所示。

例5.1.10：netstat命令的基本用法任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

4）ping命令

測試網(wǎng)絡(luò)連通性可以使用ping命令，ping命令基本語法如下所示。

ping命令的常用選項及其功能見表5-1-6。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)知識鏈接

ping命令通常用來作為網(wǎng)絡(luò)可用性的檢查。ping命令可以對一個網(wǎng)絡(luò)地址發(fā)送測試數(shù)據(jù)包，看該網(wǎng)絡(luò)地址是否有響應(yīng)并統(tǒng)計響應(yīng)時間，以此測試網(wǎng)絡(luò)。ping命令的基本用法如例5.1.11所示。例5.1.11：ping命令的基本用法任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)實施

（1）配置服務(wù)器計算機的主機名為，實施命令如下所示。（2）配置服務(wù)器的IP地址為01，子網(wǎng)掩碼為，網(wǎng)關(guān)設(shè)置為54，實施命令如下所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)實施

（3）查看網(wǎng)卡配置信息，實施命令如下所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)實施

（4）配置服務(wù)器的DNS服務(wù)器地址為01和6，實施命令如下所示。（5）略任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)實施

（6）使用ping命令測試server與client1之間的連通性，實施命令如下所示。（7）使用netstat命令查詢處于監(jiān)聽狀態(tài)的TCP連接，實施命令如下所示。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)任務(wù)小結(jié)（1）配置網(wǎng)絡(luò)時，一定要保證有線網(wǎng)絡(luò)是處于連接狀態(tài)的。（2）配置網(wǎng)絡(luò)有四種方法，使用nmcli命令實現(xiàn)是需要重點掌握的方法。任務(wù)5.1配置常規(guī)網(wǎng)絡(luò)*任務(wù)5.2

配置SSH服務(wù)器項目5配置常規(guī)網(wǎng)絡(luò)與使用遠程服務(wù)

任務(wù)描述Z公司的信息中心有多臺服務(wù)器，網(wǎng)絡(luò)管理員小李準(zhǔn)備開啟服務(wù)器的遠程登錄功能，實現(xiàn)遠程安全管理信息中心內(nèi)的服務(wù)器。任務(wù)5.2配置SSH服務(wù)器

任務(wù)要求Linux操作系統(tǒng)實現(xiàn)安全遠程登錄，可通過開啟SSH服務(wù)來實現(xiàn)。根據(jù)網(wǎng)絡(luò)管理員小彭的環(huán)境描述，正確配置Linux服務(wù)器的SSH服務(wù)，在網(wǎng)絡(luò)可達的情況下即可使用SSH安全遠程登錄服務(wù)。本任務(wù)的具體要求如下所示。（1）3臺計算機的信息配置如表5-2-1所示。（2）將3臺虛擬機的網(wǎng)絡(luò)連接方式統(tǒng)一配置為僅主機模式。（3）分別采用基于密碼的驗證和基于密鑰的驗證兩種不同的驗證方式實現(xiàn)SSH遠程登錄。任務(wù)5.2配置SSH服務(wù)器知識鏈接1.SSH的功能SSH（SecureShell）是一種能夠以安全的方式提供遠程登錄的協(xié)議，也是目前遠程管理Linux操作系統(tǒng)的首選方式。SSH是一種標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，適用于絕大部分的UNIX及Linux系統(tǒng)。通過SSH協(xié)議，用戶可以以字符界面的形式遠程登錄Linux系統(tǒng)進行管理。由于SSH協(xié)議把全部數(shù)據(jù)傳輸采用加密方式，因此擁有更好的安全性。

這對于系統(tǒng)管理員來說，是非常有用的。因為通常情況下，Linux系統(tǒng)管理員會同時管理多臺Linux主機，如果每臺主機都到本地去操作，則會非常麻煩。通過SSH協(xié)議，用戶就可以在一臺主機上面，遠程管理所有的Linux主機。任務(wù)5.2配置SSH服務(wù)器知識鏈接2.SSH驗證方式

SSH協(xié)議包括2個部分，分別為服務(wù)端和客戶端，服務(wù)端以服務(wù)的形式運行在Linux上面，監(jiān)聽22端口，等待客戶端的連接。SSH客戶端有很多種，常見的有Putty、SecureCRT以及FinalShell等，這些都是圖形界面的SSH客戶端。Shell本身也提供了一個命令行的SSH客戶端，即ssh命令，其基本格式如下所示。

任務(wù)5.2配置SSH服務(wù)器知識鏈接SSH協(xié)議提供了以下兩種安全驗證的方法。

（1）基于口令的驗證—用賬戶和密碼來驗證登錄。在這種認證方式下，無須進行任何配置，用戶就可以使用SSH服務(wù)器存在的賬號和口令進行登錄。

（2）基于密鑰的驗證—需要在本地生成密鑰對，然后把密鑰對中的公鑰上傳至服務(wù)器，并與服務(wù)器中的公鑰進行比較，該方式相對來說更安全。密鑰就是密文的鑰匙，有私鑰和公鑰之分。在傳輸數(shù)據(jù)時，若擔(dān)心被他人監(jiān)聽或截獲，則可以在傳輸前先使用公鑰對數(shù)據(jù)進行加密處理，然后再進行傳輸。此時只有掌握私鑰的用戶才能解密這段數(shù)據(jù)，除此之外的其他人即便截獲了數(shù)據(jù)，也很難將其破譯為明文信息。所以在生產(chǎn)環(huán)境中使用密碼進行口令驗證始終存在被暴力破解或嗅探截獲的風(fēng)險。如果正確配置了密鑰驗證方式，那么SSH服務(wù)將更加安全。任務(wù)5.2配置SSH服務(wù)器知識鏈接3.SSH配置文件Linux操作系統(tǒng)中的一切都是文件，因此在Linux操作系統(tǒng)中修改服務(wù)程序的運行參數(shù)，實際上就是在修改程序配置文件。實現(xiàn)SSH服務(wù)的軟件是OpenSSH，OpenSSH常用的配置文件為/etc/ssh/ssh_config和/etc/ssh/sshd_config文件。其中/etc/ssh/ssh_config文件為客戶端配置文件，/etc/ssh/sshd_config文件為服務(wù)器端配置文件。運維人員一般會把保存最主要配置信息的文件稱為主配置文件，而配置文件中有許多以“#”開頭的注釋行，要想讓這些配置參數(shù)生效，需要在修改參數(shù)后再去掉前面的“#”。SSH服務(wù)器端配置文件包含的重要參數(shù)及其作用見表5-2-2。任務(wù)5.2配置SSH服務(wù)器知識鏈接任務(wù)5.2配置SSH服務(wù)器知識鏈接4.SSH服務(wù)相關(guān)軟件包在通常情況下，Ubuntu會默認安裝SSH服務(wù)端。SSH服務(wù)使用的軟件包名稱為openssh-server，可以使用dpkg命令查看已經(jīng)安裝過相關(guān)軟件包，如例5.2.1所示。5.SSH服務(wù)的啟停SSH的后臺守護進程是sshd，因此，在啟動、停止SSH服務(wù)和查詢SSH服務(wù)狀態(tài)時要以sshd作為參數(shù)。

任務(wù)5.2配置SSH服務(wù)器任務(wù)實施1.實現(xiàn)基于口令的驗證

在登錄SSH服務(wù)可以使用圖形化的客戶端，也可以使用ssh命令。下面分別介紹2種方法的使用。1）使用ssh命令遠程連接服務(wù)器

在客戶端上使用ssh命令遠程連接服務(wù)器，實施命令如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施2）使用軟件連接遠程服務(wù)器步驟

1：在客戶端上client2上，安裝SecureCRT過程，略。步驟

2：在客戶端上client2上，打開SecureCRT主界面，如圖5.2.1所示。

任務(wù)5.2配置SSH服務(wù)器任務(wù)實施

步驟3：單擊工具欄上的QuickConnect的按鈕，打開QuickConnect對話框，在Hostname文本框中輸入要連接的主機的IP地址“01”，在Username文本框中輸入賬號“chris”，Authentication復(fù)選框處選擇“Password”，其他保持默認即可，然后單擊“Connect”按鈕，如圖5.2.2所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施

步驟4：在彈出的NewHostKey對話框上，單擊“Accept&Save”按鈕，如圖5.2.3所示。

步驟5：彈出EnterSecureShellPassword對話框，在Password文本框中輸入密碼，然后單擊“OK”按鈕，如圖5.2.4所示任務(wù)5.2配置SSH服務(wù)器任務(wù)實施

步驟6：如果密碼輸入正確，則會登錄到Linux的服務(wù)端，如圖5.2.5所示。如果用戶輸入錯誤，則會再次彈出密碼輸入框，要求用戶重新輸入密碼。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施2.實現(xiàn)基于密鑰的驗證下面使用密鑰驗證方式，以用戶teacher身份登錄SSH服務(wù)器，具體配置如下所示。步驟1：在服務(wù)器server上建立teacher用戶，并設(shè)置密碼123456，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟2：在服務(wù)端主機server上以teacher用戶登錄并生成密鑰對，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟3：在服務(wù)端主機server中，將生成的私鑰文件傳送至客戶端client上，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟4：在服務(wù)端server上，將生成的公鑰文件保存在authorized_keys文件中，如下所示。步驟5：在客戶端client上，將服務(wù)端傳輸過去的id_rsa私鑰文件保存在authorized_keys文件中，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟6：在服務(wù)器server上進行設(shè)置，將第57行的“PasswordAuthenticationyes”改為“PasswordAuthenticationno”，使其只允許密鑰驗證，拒絕傳送的口令驗證方式。保存后退出并重啟sshd服務(wù)程序，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟7：在客戶端client上嘗試使用teacher用戶遠程登錄到服務(wù)器，此時無須輸入密碼也可以成功登錄。同時使用ipaddr命令可以查看到網(wǎng)卡的IP地址是01，即服務(wù)器server網(wǎng)卡的IP地址，說明已成功登錄到了遠程服務(wù)器server上。任務(wù)5.2配置SSH服務(wù)器任務(wù)實施步驟8：在服務(wù)器server上查看client客戶機的公鑰是否傳送成功，如下所示。任務(wù)5.2配置SSH服務(wù)器任務(wù)小結(jié)（1）在使用SSH協(xié)議來遠程管理Linux系統(tǒng)時，有兩種安全驗證的方式，即基于口令的驗證和基于密鑰的驗證。（2）基于密鑰的驗證要求在本地生成密鑰對，該驗證方式相對來說更安全。任務(wù)5.2配置SSH服務(wù)器*UbuntuLinux系統(tǒng)管理與服務(wù)器配置職業(yè)教育計算機網(wǎng)絡(luò)技術(shù)專業(yè)校企互動應(yīng)用型系列教材*項目6用戶與權(quán)限管理

UbuntuLinux系統(tǒng)管理與服務(wù)器配置*項目描述

Z公司是一家擁有上百臺服務(wù)器的大型互聯(lián)網(wǎng)公司。該公司服務(wù)器管理員眾多，因管理員的職能、水平各不相同，對服務(wù)器的熟知度也不同，容易出現(xiàn)操作不規(guī)范的現(xiàn)象，可能使該公司服務(wù)器安全存在極大的不穩(wěn)定性和操作安全隱患。因此對用戶和權(quán)限的管理顯得至關(guān)重要。了解和掌握Linux操作系統(tǒng)的用戶和權(quán)限管理，可以提高Linux操作系統(tǒng)的安全性。

在Linux操作系統(tǒng)中，每個文件都有很多和安全相關(guān)的屬性，這些屬性決定了哪些用戶可以對這個文件執(zhí)行哪些操作。對于Linux初學(xué)者來說，文件權(quán)限管理是必須掌握的一個重要知識點。能否合理有效地管理文件權(quán)限，是評價一個Linux操作系統(tǒng)管理員是否合格的重要標(biāo)準(zhǔn)。

項目6用戶與權(quán)限管理

*項目6用戶與權(quán)限管理

*任務(wù)6.1

管理用戶和用戶組項目6用戶與權(quán)限管理

任務(wù)描述Z公司的網(wǎng)絡(luò)管理員小李對Linux服務(wù)器進行了基本設(shè)置后，主管卻對他說表示員工還無法進行工作，希望能盡快解決。小李經(jīng)過查看后，發(fā)現(xiàn)員工還沒有自己的用戶名和密碼，所以他決定開始為員工設(shè)置用戶名和密碼。任務(wù)6.1管理用戶和用戶組任務(wù)要求

Linux是一個真正的多用戶操作系統(tǒng)，無論用戶是從本地還是從遠程登錄，用戶都必須擁有用戶賬號。用戶登錄時，操作系統(tǒng)將檢驗輸入的用戶名和密碼，只有當(dāng)該用戶名已存在，而且密碼與用戶名相匹配時，用戶才能進入操作系統(tǒng)。本任務(wù)的具體要求如下所示。（1）新建chris、user1、user2用戶，將user1用戶和user2用戶加入到chris用戶組中。（2）設(shè)置user1、user2用戶的密碼為123456，禁用user1用戶。（3）創(chuàng)建一個新的用戶組，用戶組的名稱為group1，將user2用戶加入到group1用戶組中。（4）新建user3用戶，UID為1005，指定其所屬的私有用戶組為group2（group2用戶組的標(biāo)識符為1010），user3用戶的主目錄為/home/user3，Shell用戶的主目錄為/bin/bash，用戶密碼為123456，用戶賬號永不過期。（5）設(shè)置user1用戶的最短密碼存活期為8天，最長密碼存活期為60天，密碼到期前5天提醒用戶修改密碼，設(shè)置完成后查看各屬性值。任務(wù)6.1管理用戶和用戶組知識鏈接1．用戶和用戶組基本概念

Linux是一個多用戶、多任務(wù)的網(wǎng)絡(luò)操作系統(tǒng)，它允許多個用戶同時登錄操作系統(tǒng)，使用系統(tǒng)資源。要登錄Linux操作系統(tǒng)，首先必須有合法的登錄名和密碼才行。系統(tǒng)的每個文件都設(shè)計成隸屬相應(yīng)的用戶和用戶組，不同的用戶則決定了其系統(tǒng)內(nèi)的文件是否可以訪問。Linux操作系統(tǒng)通過定義不同的用戶，來控制用戶在系統(tǒng)中的權(quán)限。任務(wù)6.1管理用戶和用戶組知識鏈接

在Linux操作系統(tǒng)中，為了方便系統(tǒng)管理員的管理和用戶工作的方便，產(chǎn)生了組的概念。用戶組是具有相同特征用戶的邏輯組合，將所有需要訪問相同資源的用戶放入同一個組中，然后給這個組授權(quán)，組內(nèi)的用戶就會自動擁有這些權(quán)限。用戶組極大地簡化了Linux管理用戶的難度，提高了系統(tǒng)管理員的工作效率。

用戶使用人們?nèi)菀子洃浥c識別的名字作為標(biāo)識，以此來增強操作的便利性。然而在Linux操作系統(tǒng)內(nèi)部，系統(tǒng)通過為每個用戶和用戶組分配唯一的標(biāo)識號來區(qū)分不同的用戶和用戶組，，這個唯一的標(biāo)識號也就是UID（UserID，用戶ID）和GID（GroupID，組ID），每個用戶和用戶組都有唯一的UID和GID。任務(wù)6.1管理用戶和用戶組知識鏈接在Linux操作系統(tǒng)中，用戶賬號分為管理員用戶、系統(tǒng)用戶和普通用戶。（1）管理員用戶：也稱超級用戶，在Linux操作系統(tǒng)中的管理員用戶為root用戶。它具有一切權(quán)限，管理員用戶對操作系統(tǒng)具有絕對的控制權(quán)，一旦操作失誤很容易對操作系統(tǒng)造成破壞。因此，在生產(chǎn)環(huán)境中，不建議使用管理員用戶身份直接登錄操作系統(tǒng)。默認情況下，root用戶的UID為0。（2）系統(tǒng)用戶：用于執(zhí)行系統(tǒng)服務(wù)進程，系統(tǒng)服務(wù)進程通常無須以管理員用戶的身份執(zhí)行，每個系統(tǒng)服務(wù)進程在執(zhí)行時，操作系統(tǒng)都會為其分配相應(yīng)的系統(tǒng)用戶，以確保相關(guān)資源不受其他用戶的影響，是Linux操作系統(tǒng)正常工作所必需的內(nèi)建的用戶。系統(tǒng)用戶不能用來登錄，系統(tǒng)用戶的UID一般為1～999。（3）普通用戶：為了完成某些任務(wù)而手動創(chuàng)建的用戶，一般只在用戶自己的主目錄內(nèi)擁有完全權(quán)限，該類用戶擁有的權(quán)限受到一定的限制，從而保證了Linux操作系統(tǒng)的安全性。普通用戶的UID一般為1000～65535。任務(wù)6.1管理用戶和用戶組知識鏈接2．用戶配置文件在Linux操作系統(tǒng)中，與用戶相關(guān)的配置文件有兩個，即用戶賬戶管理文件/etc/passwd和用戶密碼文件/etc/shadow。（1）/etc/passwd文件。/etc/passwd是一個非常重要的文件，修改該文件可以實現(xiàn)對用戶的管理，該文件記錄了用戶的基本信息。/etc/passwd文件的內(nèi)容如例6.1.1所示。任務(wù)6.1管理用戶和用戶組知識鏈接在/etc/passwd文件中，每一行代表一個用戶。每一行的用戶信息都包含7個字段，用“：”隔開，該文件的格式如下所示。任務(wù)6.1管理用戶和用戶組知識鏈接（2）/etc/shadow文件/etc/shadow文件記錄了用戶的密碼及相關(guān)信息。為了安全起見只有root用戶才可以打開/etc/shadow文件，普通用戶是無法打開的。/etc/shadow文件的內(nèi)容如例6.1.2所示。任務(wù)6.1管理用戶和用戶組知識鏈接和/etc/passwd文件的內(nèi)容類似，/etc/shadow文件中每一行代表一個用戶的信息，并用“：”分隔為9個字段。/etc/shadow文件的格式如下所示。

/etc/shadow文件中各字段的功能說明見表6-1-2。任務(wù)6.1管理用戶和用戶組知識鏈接3.用戶組配置文件（1）/etc/group文件/etc/group文件記錄了用戶組的基本信息。/etc/group文件的內(nèi)容如例6.1.3所示。任務(wù)6.1管理用戶和用戶組知識鏈接/etc/group文件的每一行代表某個用戶組的相關(guān)信息，并用“：”分隔為4個字段，/etc/group文件的格式如下所示。

/etc/group文件中各字段的功能說明見表6-1-3。任務(wù)6.1管理用戶和用戶組知識鏈接（2）/etc/gshadow文件/etc/gshadow文件記錄的用戶組的密碼。下面來看一下/etc/gshadow文件的內(nèi)容。如例6.1.4所示。任務(wù)6.1管理用戶和用戶組知識鏈接

/etc/gshadow文件與/etc/shadow文件類似，根據(jù)/etc/group文件來產(chǎn)生，每一行描述一個用戶組信息，通過“：”隔開，分為4個字段，從左到右依次為：用戶組名、組密碼、用戶組的管理者、組成員列表。

/etc/gshaadow文件中各字段的功能說明見表6-1-4。任務(wù)6.1管理用戶和用戶組知識鏈接4.用戶和用戶組的關(guān)系在Linux操作系統(tǒng)中，每個用戶都有一個對應(yīng)的用戶組，用戶組即是多個（包括一個）成員用戶為同一個目的組成的組織，用戶組內(nèi)的成員對屬于該用戶組下的文件擁有相同的權(quán)限。用戶和用戶組的對應(yīng)關(guān)系有一對一、一對多、多對一和多對多。對這四種關(guān)系的解析如下。（1）一對一：一個用戶可以存在一個用戶組中，也可以是用戶組中的唯一用戶。（2）一對多：一個用戶可以存在多個用戶組中，此用戶具有多個用戶組的共同權(quán)限。（3）多對一：多個用戶存在一個用戶組中，這些用戶具有與用戶組相同的權(quán)限。（4）多對多：即多個用戶可以存在多個用戶組中。創(chuàng)建用戶時，操作系統(tǒng)除了創(chuàng)建該用戶外，默認情況下還會創(chuàng)建一個同名的用戶組作為該用戶的用戶組，同時還會在/home目錄下創(chuàng)建同名的目錄作為該用戶的主目錄。如果一個用戶屬于多個組，那么記錄在/etc/passwd文件中的用戶組稱為該用戶的初始組（又稱主組），其他的用戶組稱為附屬組。（1）初始組（主組）：每個用戶有且只有一個初始組。（2）附屬組：用戶可以是零個或多個附屬組成員。任務(wù)6.1管理用戶和用戶組知識鏈接5.添加用戶（1）添加新用戶useradd命令在命令行模式下，使用useradd命令可以添加一個用戶。useradd命令的基本語法如下。

useradd命令的常用選項及其功能見表6-1-5。任務(wù)6.1管理用戶和用戶組知識鏈接useradd命令的基本用法如例6.1.5所示。任務(wù)6.1管理用戶和用戶組知識鏈接（2）passwd命令

新創(chuàng)建的用戶必須設(shè)置密碼才能登錄系統(tǒng)，可以使用passwd命令為用戶設(shè)置密碼。passwd命令的基本語法如下。

passwd命令還能對用戶的口令進行管理包括用戶口令的創(chuàng)建、修改、刪除、鎖定等操作。passwd命令的常用選項及其功能如表6-1-6所示。任務(wù)6.1管理用戶和用戶組知識鏈接passwd命令的使用方法比較簡單，如果想要修改自己的密碼，那么直接在命令行中輸入passwd命令即可，如果想要修改其他用戶的密碼，那么需要root用戶的權(quán)限。passwd命令的基本用法如例6.1.6所示。

任務(wù)6.1管理用戶和用戶組知識鏈接（3）修改用戶信息usermod命令

對于創(chuàng)建好的帳戶，可使用usermod命令來設(shè)置和管理帳號的各項屬性，包括登錄名、主目錄、用戶組、登錄shell等。該命令只能由root執(zhí)行。usermod命令的基本語法如下。usermod命令的常用選項及其功能如表6.1.7所示任務(wù)6.1管理用戶和用戶組知識鏈接任務(wù)6.1管理用戶和用戶組usermod命令的基本用法如例6.1.7所示。知識鏈接4）userdel命令

要刪除指定用戶賬戶，可使用userdel命令來實現(xiàn)，該命令只能有root用戶執(zhí)行。userdel命令的基本語法如下。userdel命令的常用選項及其功能如表6-1-8所示任務(wù)6.1管理用戶和用戶組知識鏈接

如果新建用戶賬號時創(chuàng)建了同名用戶組，該用戶組內(nèi)也無其他用戶賬號，那么刪除用戶賬號時會一并刪除該同名用戶組，正在登錄的用戶賬號無法被刪除。userdel命令的用法如例6.1.8所示。任務(wù)6.1管理用戶和用戶組知識鏈接6.添加用戶組1）groupadd命令groupadd命令用于新增用戶組，該命令只能由root執(zhí)行。groupadd命令的基本語法如下。groupadd命令的常用選項及其功能如表6-1-9所示任務(wù)6.1管理用戶和用戶組知識鏈接groupadd命令的基本用法如例6.1.9所示。任務(wù)6.1管理用戶和用戶組知識鏈接2）groupmod命令groupmod命令用于修改用戶組的相關(guān)屬性，包括名稱、GID等，該命令只能由root用戶執(zhí)行。groupmod命令的基本語法如下。groupmod命令的常用選項及其功能見表6-1-10。任務(wù)6.1管理用戶和用戶組知識鏈接groupmod命令的基本用法如例6.1.10所示。任務(wù)6.1管理用戶和用戶組知識鏈接3）groupdel命令

要刪除指定用戶組，可使用groupdel命令來實現(xiàn)，該命令只能有root用戶執(zhí)行。groupdel命令的基本語法如下。

在刪除指定用戶組之前，保證該用戶組不是任何用戶的主要組，否則要先刪除以該組為主要組的用戶，才能刪除這個用戶組。groupdel命令的基本用法如例6.1.11所示。任務(wù)6.1管理用戶和用戶組知識鏈接4）管理組內(nèi)用戶若要將用戶添加到指定組，使其成為該組成員或者從組內(nèi)移除某個用戶，可以使用gpasswd命令，該命令只能有root用戶執(zhí)行。gpasswd命令的基本語法如下。gpasswd命令的常用選項及其功能見表6-1-11。任務(wù)6.1管理用戶和用戶組知識鏈接gpasswd命令的基本用法如例6.1.12所示。任務(wù)6.1管理用戶和用戶組知識鏈接7.其他用戶相關(guān)命令1）id命令id命令用于查看用戶的UID、GID和附加組信息。id命令的基本語法如下。id命令的常用選項及其功能如表6-1-12所示。任務(wù)6.1管理用戶和用戶組知識鏈接

若沒有任何選項和參數(shù)，則id命令會顯示當(dāng)前已經(jīng)登錄用戶的身份信息，如例6.1.13所示。

若想要顯示指定用戶的身份信息，則需要指定登錄名，如例6.1.14所示。任務(wù)6.1管理用戶和用戶組知識鏈接2）su命令

不同的用戶具有不同的權(quán)限，有時需要在不同的用戶之間進行切換，可以使用su命令來實現(xiàn)。su命令的基本語法如下。su命令的常用選項及其功能如表6-1-13所示。任務(wù)6.1管理用戶和用戶組知識鏈接su命令的基本用法如例6.1.15所示。

若用戶名被省略，則表示切換到root用戶。普通用戶切換至其他用戶或者root用戶時，需要輸入被切換用戶的密碼，而root用戶切換為普通用戶無須輸入密碼。輸入exit可以返回原用戶身份。另外，su命令將啟動非登錄Shell，而“su-”命令會啟動登錄Shell。兩種命令的主要區(qū)別在于，“su-”命令會將Shell環(huán)境設(shè)置成用該用戶的身份重新登錄一樣，而su僅表示以該用戶身份啟動Shell，但仍然使用原始用戶的環(huán)境設(shè)置。任務(wù)6.1管理用戶和用戶組知識鏈接3）chagechage命令用于顯示和修改用戶的密碼等相關(guān)屬性。chage命令的基本語法如下所示。chage命令的常用選項及其功能如表6-1-14所示任務(wù)6.1管理用戶和用戶組知識鏈接chage命令的基本用法如例6.1.16所示。任務(wù)6.1管理用戶和用戶組任務(wù)實施（1）新建chris、user1、user2用戶，將user1用戶和user2用戶加入到chris用戶組中，實施命令如下所示。

任務(wù)6.1管理用戶和用戶組任務(wù)實施（2）設(shè)置user1、user2用戶的密碼為123456，禁用user1用戶，實施命令如下所示。任務(wù)6.1管理用戶和用戶組任務(wù)實施（3）創(chuàng)建一個新的用戶組，用戶組的名稱為group1，將user2用戶加入到group1用戶組中，實施命令如下所示。（4）新建user3用戶，UID為1005，指定其所屬的私有用戶組為group2（group2用戶組的標(biāo)識符為1010），user3用戶的主目錄為/home/user3，Shell用戶的主目錄為/bin/bash，用戶密碼為123456，用戶賬號永不過期，實施命令如下所示。任務(wù)6.1管理用戶和用戶組任務(wù)實施

（5）設(shè)置user1用戶的最短密碼存活期為8天，最長密碼存活期為60天，密碼到期前5天提醒用戶修改密碼，設(shè)置完成后查看各屬性值，實施命令如下所示。任務(wù)6.1管理用戶和用戶組任務(wù)小結(jié)（1）用戶管理在Linux安全管理機制中是非常重要的，Linux系統(tǒng)中的每個功能模塊都與用戶和權(quán)限有著密不可分的關(guān)系。（2）在Linux操作系統(tǒng)中，每個用戶和用戶組都有唯一的UID和GID。任務(wù)6.1管理用戶和用戶組*任務(wù)6.2

管理文件權(quán)限項目6用戶與權(quán)限管理

任務(wù)描述Z公司的網(wǎng)絡(luò)管理員小李，在學(xué)習(xí)了目錄和文件的操作后產(chǎn)生了一些疑問：在Linux操作系統(tǒng)中如何才能做到保護文件和目錄不被破壞呢？如何對文件和目錄的權(quán)限進行設(shè)置，讓不同的用戶有不同的使用權(quán)限？任務(wù)6.2管理文件權(quán)限

任務(wù)要求Linux操作系統(tǒng)的權(quán)限管理擁有一套成熟和嚴謹?shù)囊?guī)范。正確的權(quán)限管理，對于維護Linux操作系統(tǒng)的安全非常重要。這里主要了解和掌握Linux操作系統(tǒng)中權(quán)限的表示方法及相關(guān)命令的使用方法。本任務(wù)的具體要求如下所示。（1）在根目錄/下新建一個名為test的文件夾，在test文件夾內(nèi)新建test1文件，將test1文件的所有者改為admin用戶，test文件夾的所屬組改為group1用戶組（若沒有g(shù)roup1用戶組，則自行建立）。（2）設(shè)置test1文件的所屬用戶對test1文件具有全部的權(quán)限，其他人只有讀取的權(quán)限。任務(wù)6.2管理文件權(quán)限知識鏈接1.文件的用戶和用戶組文件與用戶和用戶組是密不可分的。用戶在創(chuàng)建文件的同時，也對該文件具有執(zhí)行操作的權(quán)限。在Linux操作系統(tǒng)中，根據(jù)應(yīng)用權(quán)限，可將用戶的身份分為文件的所有者（user）、屬組（group）和其他人（others）。每種用戶對文件都可以進行讀/寫和執(zhí)行操作，分別對應(yīng)文件的讀權(quán)限、寫權(quán)限和執(zhí)行權(quán)限。文件的所有者一般為文件的創(chuàng)建者，哪個用戶創(chuàng)建了文件，該用戶就成為該文件的所有者。通常情況下，文件的所有者擁有該文件的所有權(quán)限。如果有些文件比較敏感（如工資單），不想被所有者以外的任何人讀取或修改，那么就要把文件的權(quán)限設(shè)置為所有者可以讀取或修改，其他所有人無權(quán)這么做。除了文件所有者和所屬組，操作系統(tǒng)中的所有其他用戶都統(tǒng)一稱為其他的用戶組。Linux操作系統(tǒng)使用字母“u”表示文件的所有者（user），“g”表示文件的所屬組（group），“o”表示其他用戶（others），“a”表示所有的用戶（all）。任務(wù)6.2管理文件權(quán)限知識鏈接2.權(quán)限類型在Linux系統(tǒng)中，每個文件都有三種基本的權(quán)限類型，分別為讀（read，r）、寫（write，w）和執(zhí)行（execute，x）。關(guān)于權(quán)限的具體類型說明見表6-2-1。任務(wù)6.2管理文件權(quán)限知識鏈接3.權(quán)限表示使用ls-l或-ll命令查看文件的權(quán)限信息，如例6.2.1所示。

使用ll命令輸出的第1列共有10個字符（最后的“.”暫不考慮，代表文件的類型和權(quán)限）。每一行的第1個字符表示文件的類型，前面的內(nèi)容已有介紹。每一行的第2～10個字符表示文件的權(quán)限。這9個字符每3個字符為一組，左邊3個字符表示文件所有者的權(quán)限，中間3個字符表示文件屬組的權(quán)限，右邊3個字符表示其他人的權(quán)限。每一組是“r”“w”“x”3個字母的組合，“r”“w”“x”的順序不能改變，文件權(quán)限用字母表示時的順序如圖6-2-1所示。若不具備相應(yīng)的權(quán)限，則用減“-”代替。任務(wù)6.2管理文件權(quán)限知識鏈接任務(wù)6.2管理文件權(quán)限除了使用“r”“w”“x”表示權(quán)限，Linux操作系統(tǒng)還支持一種八進制的權(quán)限表示方法，如圖6-2-2所示。在這種形式中，“4”表示讀權(quán)限，“2”表示寫權(quán)限，“1”表示執(zhí)行權(quán)限。

r：4（讀權(quán)限）w：2（寫權(quán)限）x：1（執(zhí)行權(quán)限）以file1文件為例，其權(quán)限的具體說明如下所示。（1）第一組權(quán)限“rw-”（數(shù)字為“6”=4+2+0）表示文件所有者對該文件具有可讀、可寫、不可執(zhí)行的權(quán)限。（2）第二組權(quán)限“r--”（數(shù)字為“4”=4+0+0）表示所屬組用戶對該文件具有可讀，但不可寫，也不可執(zhí)行的權(quán)限。（3）第三組權(quán)限“r--”（數(shù)字為“4”=4+0+0）表示其他人對該文件具有可讀，但不可寫，也不可執(zhí)行的權(quán)限。

知識鏈接4.修改文件權(quán)限

在創(chuàng)建文件時，系統(tǒng)會自動賦予文件的權(quán)限，若這些默認權(quán)限無法滿足需要，則可以通過chmod命令來進行修改權(quán)限。chmod命令的格式如下。

修改修改文件權(quán)限的方法有兩種： 1）使用符號類型修改法修改文件權(quán)限， 2）使用數(shù)字類型修改法修改文件權(quán)限。任務(wù)6.2管理文件權(quán)限知識鏈接1）符號類型修改法符號類型修改法是指將文件的讀、寫、執(zhí)行權(quán)限分別用“r”“w”“x”表示，將所有者、屬組、其他人和所有人的用戶身份分別用“u”“g”“o”“a”來表示，使用操作符“+”“-”“=”來表示，即添加某種權(quán)限，移除某種權(quán)限和賦予給定某種權(quán)限并取消原來的權(quán)限。符號類型修改法的格式見表6-2-2?！?R”選項表示遞歸處理，當(dāng)操作項是目錄的時候，表示把目錄下所有的文件以及子目錄的權(quán)限全部修改。任務(wù)6.2管理文件權(quán)限知識鏈接

不同用戶之間的權(quán)限可以同時設(shè)置，使用逗號來分隔不同用戶之間的權(quán)限，逗號前后不能有空格。用符號修改法修改文件權(quán)限如例6.2.2所示。任務(wù)6.2管理文件權(quán)限知識鏈接2）數(shù)字類型修改法數(shù)字類型修改法是指將文件的讀?。╮）、寫入（w）和執(zhí)行（x）3種權(quán)限分別用4、2、1的數(shù)字表示出來，沒有授予的部分用0表示，然后再把每個用戶的3種權(quán)限對應(yīng)數(shù)字相加起來，這種方法也叫做八進制數(shù)表示法。例如，現(xiàn)在要把文件file2的權(quán)限設(shè)置為rwxrw-rw-，3種用戶的權(quán)限組合后的數(shù)字為766。用數(shù)字類型修改法修改文件權(quán)限如例6.2.3所示。任務(wù)6.2管理文件權(quán)限知識鏈接5.更改文件的所有者和屬組（1）更改文件所屬組

改變一個用戶的所屬組也比較簡單，使用chgrp命令即可實現(xiàn)。chgrp命令語法格式如下。

這里的-R選項表示遞歸修改，當(dāng)選項是目錄的時候，表示將目錄中所有的文件以及子目錄的屬組全部更改。

修改后的用戶組必須是已經(jīng)存在于/etc/group文件中的用戶組。chgrp命令的基本用法如例6.2.4所示。任務(wù)6.2管理文件權(quán)限知識鏈接2）更改文件所有者

有時候需要改變一個文件或者目錄的所有者和所屬組，chown命令可以修改文件的所有者和所屬組。chown命令語法格式如下所示。

同樣的，這里的“-R”選項表示遞歸修改，當(dāng)選項是目錄的時候，表示將目錄下所有的文件及子目錄的擁有者全部更改。

若想要修改文件的所有者，則只需要在chown命令中指定新的所有者即可。若想要同時修改文件的用戶名和所屬組，則需要把用戶名和所屬組用符號“:”分隔。若想要修改多個文件的所有者，則可以將所有的文件都指定在chown命令后面，用空格隔開即可。任務(wù)6.2管理文件權(quán)限知識鏈接

有些時候chgrp命令的功能可以使用chown命令替代，若只修改文件的所屬組，則此時只需要在用戶組的前面加一個符號“.”或“：”即可。chown命令的基本用法如例6.2.5所示。任務(wù)6.2管理文件權(quán)限任務(wù)實施（1）在根目錄/下新建一個名稱為test的文件夾，在test文件夾內(nèi)新建test1文件，將test1文件的所有者改為admin用戶，test文件夾的所屬組改為group1用戶組（若沒有g(shù)roup1用戶組，則自行建立），實施命令如下所示。任務(wù)6.2管理文件權(quán)限任務(wù)實施（2）設(shè)置test1文件的所屬用戶對test1文件具有全部的權(quán)限，其他人只有讀取的權(quán)限，實施命令如下所示。任務(wù)6.2管理文件權(quán)限任務(wù)小結(jié)（1）文件和目錄的權(quán)限進置，非常重要，會讓不同具有不同的使用權(quán)限。（2）修改文件權(quán)限有使用符號類型修改法和使用數(shù)字類型修改法，使用數(shù)字類型修改法更加方便、靈活。任務(wù)6.2管理文件權(quán)限*UbuntuLinux系統(tǒng)管理與服務(wù)器配置職業(yè)教育計算機網(wǎng)絡(luò)技術(shù)專業(yè)校企互動應(yīng)用型系列教材*項目7配置與管理DNS服務(wù)器

UbuntuLinux系統(tǒng)管理與服務(wù)器配置*項目描述

某公司是一家電子商務(wù)運營公司，公司需要一臺DNS服務(wù)器為內(nèi)部用戶提供內(nèi)網(wǎng)域名解析，用戶可以在內(nèi)網(wǎng)中使用FQDN（FullyQualifiedDomainName，全限定域名）訪問公司的網(wǎng)站，同時DNS服務(wù)器還可以為用戶解析公網(wǎng)域名。為了減輕DNS服務(wù)器的壓力，公司還需要搭建第二臺DNS服務(wù)器，將第一臺DNS服務(wù)器上的記錄傳輸?shù)降诙_DNS服務(wù)器。通過對DNS服務(wù)器的配置，來實現(xiàn)域名解析服務(wù)。Ubuntu操作系統(tǒng)提供的DNS服務(wù)，可以很好地解決員工簡單快捷地訪問本地網(wǎng)絡(luò)及Internet上的資源的問題。

項目7配置與管理DNS服務(wù)器

*項目描述

本項目主要介紹Ubuntu操作系統(tǒng)DNS服務(wù)器的創(chuàng)建、配置與管理，輔助DNS的配置等，以便為網(wǎng)絡(luò)用戶提供可靠的DNS服務(wù)。項目拓撲圖如圖7-0-1所示。

項目7配置與管理DNS服務(wù)器

*項目7配置與管理DNS服務(wù)器

*任務(wù)7.1安裝與配置DNS服務(wù)器項目7配置與管理DNS服務(wù)器

任務(wù)描述

要想實現(xiàn)公司向外發(fā)布網(wǎng)站，員工能簡單、快捷地訪問本地網(wǎng)絡(luò)及Internet上的資源，都需要在公司局域網(wǎng)內(nèi)部部署DNS服務(wù)器，Z公司將此任務(wù)交給網(wǎng)絡(luò)管理員小李。接下來小李的工作便是安裝與配置DNS服務(wù)器。任務(wù)7.1安裝與配置DNS服務(wù)器任務(wù)要求

Ubuntu操作系統(tǒng)通過安裝DNS服務(wù)器，并在配置文件中創(chuàng)建主要區(qū)域、正向解析區(qū)域和反向解析區(qū)域，為用戶提供DNS服務(wù)。服務(wù)器主機名、IP地址、別名對應(yīng)關(guān)系見表7-1-1。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接

在網(wǎng)絡(luò)上所有計算機之間的通信都是依賴IP地址的，可是由于IP地址實在難以記憶，使用起來很不方便，人們就使用文字性的有意思的域名來訪問網(wǎng)絡(luò)上的主機，例如使用域名就可以訪問百度的主機，但是在訪問的過程中，還是需要把域名轉(zhuǎn)換為IP地址計算機才能正確地訪問主機。通常完成這種轉(zhuǎn)換都由專門DNS的服務(wù)器來完成。1.DNS服務(wù)器的功能DNS(DomainNameSystem)域名系統(tǒng)的簡寫，它是一種基于TCP/UDP的服務(wù)，同時監(jiān)聽在TCP和UDP的53號端口。DNS服務(wù)器所提供的服務(wù)是完成將主機名或域名與IP地址相互轉(zhuǎn)換的工作。通常把域名轉(zhuǎn)換為IP地址稱為正向解析，把IP地址轉(zhuǎn)換為域名則稱為反向解析。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接2.DNS服務(wù)器的組成

（1）域名空間：指定結(jié)構(gòu)化的域名層次結(jié)構(gòu)和相應(yīng)的數(shù)據(jù)。

（2）域名服務(wù)器：服務(wù)器端用于管理區(qū)域（zone）內(nèi)的域名或資源記錄，并負責(zé)其控制范圍內(nèi)所有的主機域名解析請求的程序。

（3）解析器：客戶端向域名服務(wù)器提交解析請求的程序。整個Internet的域名系統(tǒng)采用樹形層次結(jié)構(gòu)，由許多domain組成，從上到下一次為根域、頂級域、二級域以及三級域，以為例解析DNS的樹形結(jié)構(gòu)，如圖7-1-1所示。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接3.DNS的工作過程

由本地主機發(fā)出請求首先查詢本地的/etc/hosts文件，如果hosts文件里有解析，那么返回hosts文件的解析結(jié)果，如果沒有則查詢本地DNS緩存，如果本地的DNS緩存內(nèi)保存有結(jié)果，則返回結(jié)果，如果沒有則查詢本地第一臺DNS服務(wù)器，首先查找該DNS服務(wù)器緩存，如果有對應(yīng)記錄，則返回結(jié)果，如有沒有相應(yīng)記錄，則檢查是不是自己負責(zé)的域，如果不是則啟用第二個DNS服務(wù)器，在第二個服務(wù)器也是類似步驟，如果是自己負責(zé)的域，則去該域的上一級服務(wù)器查找，直至根域。如果上一級服務(wù)器有該記錄，則在本地服務(wù)器添加該記錄方便下次查詢，如果根域也沒有結(jié)果則查詢失敗。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接4.DNS服務(wù)器類型（1）主域名服務(wù)器（MasterServer）。主域名服務(wù)器是本區(qū)域最權(quán)威的域名服務(wù)器，它在本地存儲所管理區(qū)域的地址數(shù)據(jù)庫文件，負責(zé)為客戶提供權(quán)威的地址解析。通?？梢栽谥饔蛎?wù)器的區(qū)域配置文件中看到“type=master”這樣的屬性。（2）輔助域名服務(wù)器（SlaveServer）。輔助域名服務(wù)器也稱從域名服務(wù)器，它通常與主域名服務(wù)器一起工作，是主域名服務(wù)器的一個備份。輔助域名服務(wù)器的地址數(shù)據(jù)來源于主域名服務(wù)器，并且隨著主域名服務(wù)器數(shù)據(jù)的變化而變化。通常可以在輔助域名服務(wù)器的區(qū)域配置文件中看到“type=slave”這樣的屬性。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接（3）緩存域名服務(wù)器（CacheOnlyServer）。緩存域名服務(wù)器可以運行域名服務(wù)器軟件，但是不保存地址數(shù)據(jù)庫文件。當(dāng)客戶發(fā)起查詢，它就從其他遠程服務(wù)器取得每次域名服務(wù)器查詢的結(jié)果，并將結(jié)果放在高速緩存中，以后遇到相同查詢時就用它予以回答。緩存域名服務(wù)器提供的所有信息都是間接的，所以它不是權(quán)威服務(wù)器。（4）轉(zhuǎn)發(fā)服務(wù)器（ForwarderServer）。轉(zhuǎn)發(fā)服務(wù)器與其他DNS服務(wù)器不同的是當(dāng)它遇到自己無法解析的客戶請求，它會把請求轉(zhuǎn)發(fā)到其他DNS服務(wù)器，如果設(shè)置了多個轉(zhuǎn)發(fā)器，那么它就會按順序轉(zhuǎn)發(fā)，直到找到地址或全部轉(zhuǎn)發(fā)為止。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接5.DNS服務(wù)器配置文件

BIND的主要配置文件都位于/etc/bind目錄中，表7-1-2列出了BIND的重要配置文件及其功能。任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

1）named.conf文件BIND的主進程名為named。BIND在安裝時會在/etc/bind目錄下創(chuàng)建一個名為named.conf的全局配置文件。文件named.conf引用了三個文件:named.conf.options、named.conf.local、named.conf.default-zone。BIND的主配置文件named.conf內(nèi)容如下所示任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

2）named.rfc1912.zone主配置文件

在/etc/bind/named.conf.default-zone文件中，主要定義的是zone語句，用戶可以定義域名正向解析、反向解析等，默認named.conf.default-zone文件中包含了本機域名/IP地址解析的zone定義，zone語句的基本格式如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

zone聲明定義了區(qū)域的幾個關(guān)鍵屬性，包括DNS服務(wù)器類型、區(qū)域文件等。區(qū)域配置文件的參數(shù)及其功能見表7-1-3。反向解析區(qū)域的聲明格式與正向相同，只是file文件所指定的讀取的文件不同，再就是區(qū)域的名稱不同。若要反向解析“x.y.z”的網(wǎng)段，則反向解析的區(qū)域名稱應(yīng)設(shè)置為“”。任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

（3）區(qū)域文件區(qū)域文件用來保存域名配置的文件。對BIND來說，一個域名對應(yīng)一個區(qū)域文件。區(qū)域文件中包含了域名和IP地址的對應(yīng)關(guān)系以及其他的一些資源，這些資源稱為資源記錄。所以說，區(qū)域文件就是一個由許多條資源記錄按照規(guī)定的順序構(gòu)成的文件。，區(qū)域文件和傳統(tǒng)的/etc/hosts文件類似。/etc/bind目錄下的db.local和db.127兩個文件是正向解析區(qū)域文件和反向解析區(qū)域文件的配置模板。典型的正向解析區(qū)域文件和反向解析區(qū)域文件如例7.1.1和7.1.2所示。

任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

正向解析區(qū)域文件和反向解析區(qū)域文件常用的參數(shù)及其功能見表7-1-4所示。任務(wù)7.1安裝與配置DNS服務(wù)器知識鏈接6．DNS服務(wù)器的啟動與停止BINDDNS服務(wù)的后臺守護進程是named，因此，在啟動、停止DNS服務(wù)和查詢DNS服務(wù)狀態(tài)時要以named作為參數(shù)。任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

7．測試DNS服務(wù)的工具

在DNS客戶端上驗證DNS服務(wù)器。BIND軟件包提供了三個實用的DNS測試工具—nslookup、dig和host。host和dig是命令行工具，nslookup工具有命令行模式和交互模式兩種模式。這里主要簡單介紹nslookup工具的使用方法。（1）安裝DNS測試工具，如下所示。

任務(wù)7.1安裝與配置DNS服務(wù)器

知識鏈接

（2）使用nslookup工具驗證DNS服務(wù)器。在命令行中使用nslookup命令進入交互模式，如下所示任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

1．查詢DNS服務(wù)器的BIND軟件是否已安裝

使用aptpolicybind9命令查詢BIND軟件是否安裝，如下所示。

任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

2.安裝DNS服務(wù)器的BIND軟件

若該系統(tǒng)未安裝BIND軟件，則使用aptinstall-ybind9命令安裝DNS服務(wù)器所需要的軟件包，如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

3.配置DNS服務(wù)器

步驟1：設(shè)置服務(wù)器master的IP地址為01/24，DNS服務(wù)器地址為01，前面已經(jīng)介紹過具體操作方法，這里不再詳述。

步驟2：修改/etc/bind/named.conf.default-zones主配置文件。在/etc/bind/named.conf.default-zones主配置文件末尾添加內(nèi)容，如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

步驟3：在/etc/bind目錄中創(chuàng)建正向解析區(qū)域文件.zone和反向解析區(qū)域文件db.192.168.1.zone，如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

步驟4：配置正向解析區(qū)域文件。在DNS服務(wù)器的/etc/bind目錄下打開正向解析區(qū)域文件.zone，修改后的內(nèi)容如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

步驟5：配置反向解析區(qū)域文件。在DNS服務(wù)器的/etc/bind目錄中打開反向解析區(qū)域文件db.192.168.1.zone，修改后的內(nèi)容如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

4.重啟DNS服務(wù)在配置完成后，重啟DNS服務(wù)，并設(shè)置開機自動啟動，如下所示。5.配置DNS服務(wù)器地址在DNS客戶端，配置客戶端的DNS服務(wù)器地址，確保兩臺主機之間網(wǎng)絡(luò)連接正常?？蛻舳说腄NS服務(wù)器地址配置如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器

任務(wù)實施

6．測試DNS服務(wù)使用nslookup工具驗證DNS服務(wù)。在命令行中使用nslookup命令進入交互模式，如下所示。任務(wù)7.1安裝與配置DNS服務(wù)器任務(wù)小結(jié)（1）DNS服務(wù)器的作用主要是提供域名與IP地址相互轉(zhuǎn)換的功能。（2）實現(xiàn)DNS服務(wù)的軟件BIND，在安裝時的軟件包為bind9，服務(wù)的名稱是named。任務(wù)7.1安裝與配置DNS服務(wù)器*任務(wù)7.2配置輔助DNS服務(wù)器項目7配置與管理DNS服務(wù)器

任務(wù)描述

隨著公司規(guī)模擴大，上網(wǎng)人數(shù)增加，Z公司主DNS服務(wù)器負荷過重，為防止單點故障，小李想增加一臺輔助DNS服務(wù)器，實現(xiàn)DNS的負載平衡和冗余備份，即使主DNS服務(wù)器出現(xiàn)故障，也不影響用戶訪問Internet。任務(wù)7.2配置輔助DNS服務(wù)器任務(wù)要求

輔助DNS服務(wù)器是DNS服務(wù)器的一種容錯機制，當(dāng)主DNS服務(wù)器遇到故障不能正常工作時，輔助DNS服務(wù)器可以立刻分擔(dān)主DNS服務(wù)器的工作，提供解析服務(wù)。服務(wù)器的主機名、IP地址及對應(yīng)關(guān)系見表7-2-1。任務(wù)7.2配置輔助DNS服務(wù)器知識鏈接

在Internet中，通常使用域名來訪問Internet上的服務(wù)器，因此DNS服務(wù)器在Internet的訪問中就顯得十分重要，如果DNS服務(wù)器出現(xiàn)故障，即使網(wǎng)絡(luò)本身通信正常，也無法通過域名訪問Internet。

為保障域名解析正常，除了一臺主域名服務(wù)器，還可以安裝一臺或多臺輔助域名服務(wù)器，輔助域名服務(wù)器只創(chuàng)建與主域名服務(wù)器相同的輔助區(qū)域，而不創(chuàng)建區(qū)域內(nèi)的資源記錄，所有的資源記錄從主域名服務(wù)器同步傳送得到輔助域名服務(wù)器上。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

3．配置主配置文件/etc/named.rfc1912.zones與配置主DNS服務(wù)器一樣，輔助DNS服務(wù)器同樣需要配置named.rfc1912.zones文件，建立接收主DNS數(shù)據(jù)的區(qū)域。與主DNS服務(wù)器不同的是要把type的屬性設(shè)置為slave，說明這是一個輔助區(qū)域并且增加一個masters參數(shù)，指向該區(qū)域的主DNS服務(wù)器的IP地址，輔助DNS服務(wù)器就會從該IP接收數(shù)據(jù)。在主DNS服務(wù)器中，區(qū)域數(shù)據(jù)庫文件是存放在/var/named目錄下的，一般情況下，這些數(shù)據(jù)是自己創(chuàng)建的；而在輔助DNS服務(wù)器中，需要把區(qū)域數(shù)據(jù)庫文件存放在/var/named/slaves目錄下，操作系統(tǒng)會自動把主DNS服務(wù)器傳送過來的數(shù)據(jù)保存在該目錄下而無須人為干預(yù)。如果想把區(qū)域數(shù)據(jù)庫文件存放到slaves以外的目錄，就必須把該目錄的所有者和所屬組更改為named，設(shè)置文件權(quán)限為770。這樣操作系統(tǒng)才可以自動創(chuàng)建和保存區(qū)域數(shù)據(jù)庫文件。輔助DNS服務(wù)器會把更新請求轉(zhuǎn)發(fā)到主DNS服務(wù)器實現(xiàn)動態(tài)更新，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

1．設(shè)置服務(wù)器slave的IP地址和安裝DNS軟件包設(shè)置服務(wù)器slave的IP地址/子網(wǎng)掩碼為02/24，并使用aptinstall-ybind9命令一鍵安裝BIND軟件，前面已經(jīng)介紹過具體操作方法，這里不再詳述。2.主DNS服務(wù)器的配置使用任務(wù)7.1中配置好的DNS服務(wù)器作為主DNS服務(wù)器，進行如下所示的修改。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

3.重啟主DNS服務(wù)配置完成后，重啟DNS服務(wù)器，并設(shè)置開機自動啟動，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

4.輔助DNS服務(wù)器的配置與主DNS服務(wù)器一樣，輔助DNS服務(wù)器同樣需要配置named.conf.default-zones文件，建立接收主DNS數(shù)據(jù)的區(qū)域。與主DNS服務(wù)器不同的是要把type的屬性設(shè)置為slave，說明這是一個輔助區(qū)域并且增加一個masters參數(shù)，指向該區(qū)域的主DNS服務(wù)器的IP地址，輔助DNS服務(wù)器就會從該IP接收數(shù)據(jù)。在主DNS服務(wù)器中，區(qū)域數(shù)據(jù)庫文件是存放在/etc/bind目錄下的，一般情況下，這些數(shù)據(jù)是自己創(chuàng)建的；而在輔助DNS服務(wù)器中，同樣把區(qū)域數(shù)據(jù)庫文件存放在/etc/bind目錄下，系統(tǒng)會自動把主DNS服務(wù)器傳送過來的數(shù)據(jù)保存在該目錄下而無須人為干預(yù)。輔助DNS服務(wù)器會把更新請求轉(zhuǎn)發(fā)到主DNS服務(wù)器實現(xiàn)動態(tài)更新，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

5.賦予權(quán)限步驟1：賦予bind用戶組對/etc/bind目錄具有寫的權(quán)限。步驟2：修改AppArmor對/etc/bind/**的默認權(quán)限為rw（第19行）和刷新該文件的配置，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

6.重啟輔助DNS服務(wù)配置完成后，重啟輔助DNS服務(wù)器，并設(shè)置開機自動啟動，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

7.查看區(qū)域傳送情況查看輔助DNS服務(wù)器中的/etc/bind目錄，可看到已經(jīng)自動生成了正反向解析文件和反向解析區(qū)域文件，如下所示。任務(wù)7.2配置輔助DNS服務(wù)器

任務(wù)實施

8.輔助DNS服務(wù)器的測試

在測試輔助DNS服務(wù)器前，要先把主DNS服務(wù)器關(guān)機，然后把測試機的DNS指向輔助DNS服務(wù)器，選用上述的nslookup命令來測試。如下所示。任務(wù)7.2配置輔助DNS服務(wù)器任務(wù)小結(jié)（1）在創(chuàng)建正反向解析區(qū)域文件時，一定要加“-p”，否則會導(dǎo)致配置不成功。（2）在配置輔助DNS服務(wù)器時，正反向解析區(qū)域文件和反向解析區(qū)域文件的數(shù)據(jù)是自動生成的。任務(wù)7.2配置輔助DNS服務(wù)器*UbuntuLinux系統(tǒng)管理與服務(wù)器配置職業(yè)教育計算機網(wǎng)絡(luò)技術(shù)專業(yè)校企互動應(yīng)用型系列教材*項目8配置與管理DHCP服務(wù)器