《Linux就该这么学》RHEL 7 - Chapter 13 to 17 - DNS解析、DHCP、邮件系统、代理缓存、网络存储...
目录
超级不全的文字笔记
Chapter 13 - DNS解析
DNS域名解析
-
三种服务器类型
- 主服务器:在特定区域内具有唯一性,负责维护该区域内的域名与IP地址之间的对应关系
- 从服务器:从主服务器中获得域名与IP地址的对应关系并进行维护,以防主服务器宕机等情况
- 缓存服务器:通过向其他域名解析服务器查询获得域名与IP地址的对应关系,并将经常查询的域名信息保存到服务器本地,以此来提高重复查询时的效率。
安装Bind服务程序
- Package: bind-chroot
bind服务程序的名称为named:/etc/named.conf
-
正向解析实验
- 编辑区域配置文件
- 编辑数据配置文件
- 重启named服务
- 检验解析结果
-
反向解析实验
- 编辑区域配置文件
- 编辑数据配置文件
- 重启named服务
- 检验解析结果
-
部署从服务器
- 在主服务器的区域配置文件中允许该从服务器的更新请求
- 在从服务器中填写主服务器的IP地址与要抓取的区域信息,然后重启服务
- 检验解析结果
-
安全的加密传输
- 在主服务器中生成**:dnssec-****** [参数]
- 在主服务器中创建**验证文件
- 开启并加载Bind服务的**验证功能
- 配置从服务器
- 开启并加载从服务器的**验证功能
- DNS从服务器同步域名区域数据
-
部署缓存服务器
- 配置系统的双网卡参数
- 在bind服务程序的主配置文件中添加缓存转发参数
- 重启DNS服务,验证
-
分离解析技术
- 修改bind服务程序的主配置文件,把第11行的监听端口与第17行的允许查询主机修改为any
- 编辑区域配置文件
- 建立数据配置文件
- 重新启动named服务程序
Chapter 14 - DHCP
动态主机地址管理协议
动态主机配置协议(DHCP)是一种基于UDP协议且仅限于在局域网内部使用的网络协议,主要用于大型的局域网环境或者存在较多移动办公设备的局域网环境中,其主要用途是为局域网内部的设备或网络供应商自动分配IP地址等参数
部署dhcpd服务程序
- Package: dhcp
自动管理IP地址
DHCP协议的设计初衷是为了更高效地集中管理局域网内的IP地址资源。DHCP服务器会自动把IP地址、子网掩码、网关、DNS地址等网络信息分配给有需要的客户端,而且当客户端的租约时间到期后还可以自动回收所分配的IP地址,以便交给新加入的客户端
分配固定IP地址
在DHCP协议中有个术语是“预约”,它用来确保局域网中特定的设备总是获取到固定的IP地址。换句话说,就是dhcpd服务程序会把某个IP地址私藏下来,只将其用于相匹配的特定设备
Chapter 15 - 部署邮件系统
电子邮件系统
-
常见的邮件协议
- SMTP
- POP3
- IMAP
部署基础的电子邮件系统
- 配置服务器主机名称,需要保证服务器主机名称与发信域名保持一致
- 清空iptables防火墙默认策略,并保存策略状态
- 为电子邮件系统提供域名解析
-
配置Postfix服务程序
- Package: postfix
- 配置Postfix服务程序(/etc/ postfix/main.cf)
- 创建电子邮件系统的登录账户
-
配置Dovecot服务程序
- Package: dovecot
- 配置部署Dovecot服务程序
- 配置邮件格式与存储路径
-
客户使用电子邮件系统
- 配置电子邮件账户
- 进行电子邮件服务登录验证
- 向其他信箱发送邮件
设置用户别名邮箱
用户别名功能是一项简单实用的邮件账户伪装技术,可以用来设置多个虚拟信箱的账户以接受发送的邮件,从而保证自身的邮件地址不被泄露,还可以用来接收自己的多个信箱中的邮件。
Chapter 16 - 部署代理缓存服务
代理缓存服务
Squid是Linux系统中最为流行的一款高性能代理服务软件,通常用作Web网站的前置缓存服务,能够代替用户向网站服务器请求页面数据并进行缓存。具有配置简单、效率高、功能丰富等特点,它能支持HTTP、FTP、SSL等多种协议的数据缓存,可以基于访问控制列表(ACL)和访问权限列表(ARL)执行内容过滤与权限管理功能,还可以基于多种条件禁止用户访问存在威胁或不适宜的网站资源,因此可以保护企业内网的安全,提升用户的网络体验,帮助节省网络带宽。
配置Squid服务程序
- Package: squid
-
Squid服务器和客户端的操作系统和IP地址信息
- Squid服务器:RHEL 7;外网卡:桥接DHCP模式;内网卡:192.168.10.10
- Squid客户端:192.168.10.20
正向代理
-
标准正向代理
- 在浏览器中填写服务器的IP地址以及端口号信息
- 把默认使用的端口号修改为其他值,以便起到一定的保护作用
- 手动把新的端口号添加到Squid服务程序在SElinux域的允许列表中
-
ACL访问控制
在日常工作中,企业员工一般是通过公司内部的网关服务器来访问互联网,当将Squid服务程序部署为公司网络的网关服务器后,Squid服务程序的访问控制列表(ACL)功能将发挥它的用武之地。它可以根据指定的策略条件来缓存数据或限制用户的访问。
Squid服务程序的ACL是由多个策略规则组成的,它可以根据指定的策略规则来允许或限制访问请求,而且策略规则的匹配顺序与防火墙策略规则一样都是由上至下;在一旦形成匹配之后,则立即执行相应操作并结束匹配过程。为了避免ACL将所有流量全部禁止或全部放行,起不到预期的访问控制效果,运维人员通常会在ACL的最下面写上deny all或者allow all语句,以避免安全隐患。
-
透明正向代理
“透明”二字指的是让用户在没有感知的情况下使用代理服务,这样的好处是一方面不需要用户手动配置代理服务器的信息,进而降低了代理服务的使用门槛;另一方面也可以更隐秘地监督员工的上网行为。
在透明代理模式中,用户无须在浏览器或其他软件中配置代理服务器地址、端口号等信息,而是由DHCP服务器将网络配置信息分配给客户端主机。这样只要用户打开浏览器便会自动使用代理服务了。如果大家此时并没有配置DHCP服务器,可以像如图16-12所示来手动配置客户端主机的网卡参数。
反向代理
反向代理是Squid服务程序的一种重要模式,其原理是把一部分原本向网站源服务器发起的用户请求交给Squid服务器缓存节点来处理。
Chapter 17 - 网络存储
iSCSI技术介绍
这是一种将SCSI接口与以太网技术相结合的新型存储技术,可以用来在网络中传输SCSI接口的命令和数据。这样,不仅克服了传统SCSI接口设备的物理局限性,实现了跨区域的存储资源共享,还可以在不停机的状态下扩展存储容量
创建RAID磁盘阵列(以配置RAID 5磁盘阵列组为例)
- 在虚拟机中添加4块新硬盘,用于创建RAID 5磁盘阵列和备份盘
- 使用mdadm命令创建RAID磁盘阵列
配置iSCSI服务端
- iSCSI服务端:RHEL 7:192.168.10.10
- iSCSI客户端:RHEL 7:192.168.10.10
- Package: targetd targetcli
- systemctl start targetd && systemctl enable targetd
- 创建iSCSI target名称及配置共享资源
- 设置访问控制列表(ACL)
- 设置iSCSI服务端的监听IP地址和端口号
- 配置妥当后检查配置信息,重启iSCSI服务端程序并配置防火墙策略
配置Linux客户端
- iscsiadm [-m] discovery -t st -p 192.168.10.10
配置Windows客户端
- 运行iSCSI发起程序
- 扫描发现iSCSI服务端上可用的存储资源
- 准备连接iSCSI服务端的共享存储资源
- 访问iSCSI远程共享存储资源
注:暂未列出Chapter 23的文字笔记
更加超级不全的图片笔记
Chapter 13 - 15, 23
Chapter 16 - 17