linux常见服务

一、开机系统启动过程

经历以下几个过程：

1. BIOS自检
2. 系统引导
3. 启动内核
4. 初始化系统

1.加载BIOS的硬件信息与进行自我检测，并依据设置取得第一个可启动的设备；
2.读取并执行第一个启动设备内MBR的boot loader（即是grup，spfdisk等程序）；
3.依据boot loader的设置加载Kernel，Kernel会开始检测硬件与加载驱动程序；
4.在硬件驱动成功后，Kernel会主动调用init进程，而init会取得run-level信息
init执行/etc/rc.d/rc.sysinit文件来准备软件执行的操作环境（如网络、时区等）；
init执行run-level的各个服务的启动（script方式）；
init执行/etc/rc.d/rc.local文件；
init执行终端机模拟程序mingetty来启动login进程，最后就是等待用户登录。

二、WEB服务器

2.1URL
Uniform Resource Locator，统一资源定位符，对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。

<协议>://<主机地址或主机名>[:port]/<目录资源，路径>

浏览器常支持的协议：http，https，ftp等

2.2 端口
http为80 https为443

• 0-1023：众所周知，永久地分配给固定的应用程序使用，特权端口（只有管理员有权限启用并让进程监听）；
• 1024-41951：亦为注册端口，但要求不是特别严格，分配给程序注册为某应用使用：3306/TCP
• 41952-60000：客户端程序随机使用的端口，动态端口，或私有端口；

2.3http请求方法：

在http通信中，每个http请求报文都包含一个方法，用以告诉web服务器端需要执行哪些具体的动作，这些动作包括：获取指定web页面、提交内容到服务器、删除服务器上资源文件等。

2.4常见状态代码、状态描述的说明如下：

状态码	状态描述
200 OK	客户端请求成功
400 Bad Request	客户端请求有语法错误，不能被服务器所理解
401 Unauthorized	请求未经授权，这个状态代码必须和 WWW-Authenticate 报头域一起使用
403 Forbidden	服务器收到请求，但是拒绝提供服务
404 Not Found	请求资源不存在，举个例子：输入了错误的URL
500 Internal Server Error	服务器发生不可预期的错误
503 Server Unavailable	服务器当前不能处理客户端的请求，一段时间后可能恢复正常

2.5 http协议请求的工作流程：
（1）终端客户在web浏览器地址栏输入访问地址http://www.ceshi.com:80/index.html
（2）web浏览器请求DNS服务器把域名www.ceshi.com解析成web服务器的IP地址
（3）web浏览器将端口号（默认是80）从访问地址（URL）中解析出来
（4）web浏览器通过解析后的ip地址及端口号与web服务器之间建立一条TCP连接
（5）建立TCP连接后，web浏览器向web服务器发送一条HTTP请求报文
（6）web服务器响应并读取浏览器的请求信息，然后返回一条HTTP响应报文。
（7）web服务器关闭HTTP连接，关闭TCP连接，web浏览器显示访问的网站内容到屏幕上。

2.6 SSL 是“Secure Sockets Layer”的缩写，中文叫做“安全套接层”。
SSL协议分为两层：

1. SSL记录协议 （SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能。
2. SSL握手协议（SSL Handshak Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加***等。

SSL协议提供的服务：

1. 认证用户和服务器，确保数据发送到正确的客户机和服务器
2. 加密数据以防止数据中途被窃取
3. 维护数据的完整性，确保数据在传输过程中不被改变。

2.7常见算法

• HASH是把任意长度的输入（又叫做预映射pre-image）通过散列算法变换成固定长度的输出，该输出就是散列值。Hash算法特别的地方在于它是一种单向算法，用户可以通过hash算法对目标信息生成一段特定长度的唯一hash值，却不能通过这个hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。
  常见的HASH算法：MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1。

• 共享**加密（对称**加密）：加密和解密使用相同**。
  对称加密算法：DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES。

• 公开**加密（非对称**加密）：公开**加密使用一对非对称的**。一把叫做私有**，一把叫做公开**。私有**不能让其他任何人知道，而公开**则可以随意发布，任何人都可以获得。使用此加密方式，发送密文的一方使用公开**进行加密处理，对方收到被加密的信息后，再使用自己的私有**进行解密。利用这种方式，不需要发送用来解密的私有**，也不必担心**被攻击者窃听盗走。
  常见的非对称加密算法：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）。

三、DHCP服务器

3.1dhcp(Dynamic Host configuration Protocol,动态主机配置协议 )
是一个局域网的网络协议，它主要是通过客户端发送广播数据包给整个物理网段内的所有主机，若局域网内有DHCP服务器时，才会响应客户端的IP参数要求。

3.2客户端取得IP参数的过程如下：

（1）客户端：利用广播数据包发送搜索DHCP服务器的数据包

• 若客户端网络设置使用DHCP协议取得IP，则当客户端开机或者是重新启动网卡时，客户端主机会发送出查找DHCP服务器的UDP数据包（discover）给所有物理网段内的计算机。因为客户端还不知道自己属于哪一个网络，所以该数据包的来源地址会为0.0.0.0，而目的地址则为255.255.255.255。一般主机接收到这个数据包之后会直接丢弃，若局域网内有DHCP服务器，则会开始后续行为。

（2）服务器端：提供客户端网络相关的租约以供选择。（dhcp offer）

• DHCP服务器在监听到客户端发出的dhcp discover广播后，会针对这个客户端的硬件地址（ MAC）与本身的设置数据进行下列工作：
• 到服务器的日志文件中查找该用户之前是否曾经租用过某个IP，若有且该IP目前无人使用，则提供此IP给客户端。
  若配置文件针对该MAC地址提供特定的固定IP时，则提供该固定的IP给客户端。
  若不符合上述两个条件，则随机选取当前没有被使用的IP参数给客户端，并记录下来。

（3）客户端：决定选择DHCP服务器提供的网络参数租约并向服务器确认。

• 由于局域网内可能并非仅有一台DHCP服务器，但客户端仅能接收一组网络参数租约，因此客户端只会挑选其中一个DHCP offer（通常是最先抵达的那个）。当决定好使用此服务器的网络参数租约后，客户端便开始使用这组网络参数来配置自己的网络环境。此外，客户端会发送一个dhcp request广播数据包给所有物理网段内的主机，告知已经接受该服务器的租约（此时若有两台以上的DHCP服务器，则这些没有被接受的服务器会收回该IP租约。）。同时，客户端还会向网络发送一个ARP封包，查询网络上面有没有其他机器使用该IP地址；如果发现该IP地址已经被占用，客户端则会送出一个DHCPDECLIENT包给DHCP服务器，拒绝接受其DHCP offer，并重新发送DHCP discover信息。

（4）服务器端：记录该次租约行为后并向客户端发送响应数据包信息以确认客户端的使用。

• 当服务器端收到客户端的确认选择后，服务器会回送确认的dhcp ack响应数据包，并且告知客户端这个网络参数租约的期限，并且开始租约计时。那么该次租约何时会到期而被解约，有以下几种情况：

• 客户端脱机：关闭网络接口、重新启动、关机等行为，都算是脱机状态，这个时候server端就会将该IP地址收回，并放到server的备用区中，以便日后使用。

• 客户端租约到期：dhcp server端发放的IP有使用的期限，客户端使用这个IP到达期限规定的时间，而且没有重新提出DHCP的申请时，server端就会将该IP收回，这个时候就会断线。但用户也可以向DHCP服务器再次要求分配IP。

• 由于目前的DHCP客户端程序大多数会主动依据租约时间去重新申请IP，所以即使有租约期限，也不需要在某个时间点手动去重新申请IP。一般情况下，假设租约时间是T小时，那么客户端程序在0.5T时会主动向DHCP服务器发出重新要求网络参数的数据包。如果这次数据包请求没有成功，那么在0.85T后还会再次发送数据包一次。正因如此，所以服务器端会启动port67监听客户端请求，而客户端会启动port68主动向服务器请求。
  

四、DNS域名解析服务器

4.1 DNS介绍
DNS（Domain Name System）是互联网上的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。
DNS系统使用的是网络的查询，那么自然需要有监听的port。DNS使用的是53端口，在/etc/services（搜索domain）这个文件中能看到。通常DNS是以UDP这个较快速的数据传输协议来查询的，但是没有查询到完整的信息时，就会再次以TCP这个协议来重新查询。所以启动DNS时，会同时启动TCP以及UDP的port53。

4.2因特网的域名结构
由于因特网的用户数量较多，所以因特网在命名时采用的是层次树状结构的命名方法。任何一个连接在因特网上的主机或路由器，都有一个唯一的层次结构的名字，即域名(domain name）。

域名分为三大类：
(1)国家顶级域名：采用ISO3166的规定。如：cn代表中国，us代表美国，uk代表英国，等等。国家域名又常记为ccTLD(country code top-level domains，cc表示国家代码contry-code)。
(2)通用顶级域名：最常见的通用顶级域名有7个，即：com(公司企业)，net(网络服务机构)，org(非营利组织)，int(国际组织)，gov(美国的政府部门)，mil(美国的军事部门)。
(3)基础结构域名(infrastructure domain)：这种顶级域名只有一个，即arpa，用于反向域名解析，因此称为反向域名。

根据域名服务器起的作用，可以把域名服务器划分为以下类型：
（1）根域名服务器：最高层次的域名服务器，也是最重要的域名服务器。所有的根域名服务器都知道所有的顶级域名服务器的域名和IP地址。不管是哪一个本地域名服务器，若要对因特网上任何一个域名进行解析，只要自己无法解析，就首先求助根域名服务器。所以根域名服务器是最重要的域名服务器。假定所有的根域名服务器都瘫痪了，那么整个DNS系统就无法工作。需要注意的是，在很多情况下，根域名服务器并不直接把待查询的域名直接解析出IP地址，而是告诉本地域名服务器下一步应当找哪一个顶级域名服务器进行查询。
（2）顶级域名服务器：负责管理在该顶级域名服务器注册的二级域名。
（3）权限域名服务器：负责一个“区”的域名服务器。
（4）本地域名服务器：本地域名服务器不属于域名服务器的层次结构，但是它对域名系统非常重要。当一个主机发出DNS查询请求时，这个查询请求报文就发送给本地域名服务器。

4.3域名解析过程

1、在浏览器中输入www . qq .com 域名，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个IP地址映射，完成域名解析。
2、如果hosts里没有这个域名的映射，则查找本地DNS解析器缓存，是否有这个网址映射关系，如果有，直接返回，完成域名解析。
3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系，首先会找TCP/IP参数中设置的首选DNS服务器，在此我们叫它本地DNS服务器，此服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返回解析结果给客户机，完成域名解析，此解析具有权威性。
4、如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已缓存了此网址映射关系，则调用这个IP地址映射，完成域名解析，此解析不具有权威性。
5、如果本地DNS服务器本地区域文件与缓存解析都失效，则根据本地DNS服务器的设置（是否设置转发器）进行查询，如果未用转发模式，本地DNS就把请求发至13台根DNS，根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理，并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后，将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后，如果自己无法解析，它就会找一个管理qq.com的DNS服务器地址给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找qq.com域服务器，重复上面的动作，进行查询，直至找到www . qq .com主机。
6、如果用的是转发模式，本地DNS服务器就会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把请求转至上上级，以此循环。找到最后把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。
注：从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间使用的交互查询就是迭代查询。

五、NFS
5.1简介
NFS（Network File System，网络文件系统）是FreeBSD支持的文件系统中的一种，它允许网络中的计算机（不同的计算机、不同的操作系统）之间通过TCP/IP网络共享资源，主要在unix系列操作系统上使用。在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。

• NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中，而在本地端的系统中看来，那个远程主机的目录就好像是自己的一个磁盘分区一样。
• 由于NFS支持的功能比较多，而不同的功能都会使用不同的程序来启动，每启动一个功能就会启用一些端口来传输数据，因此NFS的功能所对应的端口并不固定，而是随机取用一些未被使用的小于1024的端口用于传输。但如此一来就会产生客户端连接服务器的问题，因为客户端需要知道服务器端的相关端口才能够连接。
• 此时就需要RPC（Remote Procedure Call，远程过程调用）的服务。由于当服务器在启动NFS时会随机选取数个端口号，并主动向RPC注册，所以RPC知道每个NFS功能所对应的端口号，RPC将端口号通知给客户端，让客户端可以连接到正确的端口上去。RPC采用固定端口号port 111来监听客户端的需求并向客户端响应正确的端口号。

注：在启动NFS之前，要先启动RPC，否则NFS会无法向RPC注册。另外，RPC若重新启动，原来注册的数据会消失不见，因此RPC重启后，它管理的所有服务都需要重新启动以重新向RPC注册。

5.2nfs使用相关参数说明

参数值	说明
rw，ro	该目录共享的权限是可读写还是只读，但最终能否读写，还是与文件系统的rwx有关
sync，async	sync代表数据会同步写入到内存与硬盘中，async则代表数据会先暂存于内存当中，而非直接写入硬盘
no_root_squash，root_squash	若客户端在共享目录里创建的文件的所属者和所属组是root用户和root组，那么显示文件的属主和属组时有以下两种情况 no_root_squash表示，文件的所属者和所属组是root用户和root组；root_squash表示将root用户和组映射为匿名用户和组（默认设置）。
all_squash，no_all_squash	all_squash:客户端所有用户创建文件时，客户端会将文件的用户和组映射为匿名用户和组 ；no_all_squash:客户端普通用户创建的文件的UID和GID是多少，服务端就显示为多少（默认设置）
anonuid=，anongid=	将文件的用户和组映射为指定的UID和GID，若不指定默认为65534（nfsnobody）

六、FTP服务器

6.1简介
FTP（File Transfer Protocol，文件传输协议）是用于在网络上进行文件传输的一套标准协议，它属于网络传输协议的应用层。它最主要的功能是在服务器与客户端之间进行文件的传输。这个协议使用的是明文传输。

6.2功能
FTP服务器的功能除了单纯的进行文件的传输与管理外，依据服务器软件的配置架构，提供以下几个主要功能：
1、不同的用户：
FTP服务器在默认的情况下，依据用户登录的情况而分为三种不同的身份，分别是：实体用户，real user；访客，guest；匿名用户，anonymous。
2、命令记录与日志文件记录
FTP可以利用系统的syslogd来进行数据的记录，而记录的数据包括了用户曾经使用过的命令与用户传输数据（传输时间、文件大小等）的记录，所以你可以在/var/log/里面找到各项日志信息。
3、限制用户活动的目录（change root，简称chroot）
为了避免用户在你的linux系统中随意切换目录，所以将用户的工作范围局限在用户主目录下面。FTP可以限制用户仅能在自己的用户主目录当中活动。当用户登录FTP后，由于用户无法离开自己的用户主目录，显示的根目录就是自己用户主目录的内容。这种环境称为change root，即chroot，即改变根目录的意思。

6.3工作过程
FTP的传输使用的是TCP数据包协议。FTP服务器使用了两个连接，分别是命令通道与数据流通道。由于是TCP数据包，这两个连接都需要经过三次握手。
建立命令通道的过程
客户端会随机获取一个大于1024以上的端口来与FTP服务器端的port 21来实现连接，这个过程需要三次握手。实现连接后客户端便可以通过这个连接来对FTP服务器执行命令，查询文件名、下载、上传等命令都是利用这个通道来执行的。

建立数据通道的过程
（1）通知FTP服务器端使用主动连接且告知连接的端口号
FTP服务器的端口21号主要用在命令的执行，但是牵涉到数据流时，就不是使用这个连接了。客户端在需要数据的情况下，会告知服务器端要用什么方式来连接，如果是主动连接，客户端会先随机启用一个端口，且通过命令通道告知FTP服务器这两个信息，并等待FTP服务器的连接。

FTP服务器主动向客户端连接
FTP服务器由命令通道了解客户端的需求后，会主动地由port 20向客户端的数据端口连接，这个连接也会经过三次握手。此时FTP的客户端与服务器端会建立两条连接，分别用在命令的执行与数据的传递。而默认FTP服务器端使用的主动连接端口就是port 20。 数据传输通道是在有数据传输的行为时才会建立的通道，并不是一开始连接到FTP服务器就立刻建立的通道。

注意：port 21主要接收来自客户端的主动连接，port 20则为FTP服务器主动连接至客户端。

（2）客户端选择被动式连接模式
客户端通过命令通道发出被动式连接要求，并等待服务器的回应。
FTP服务器启动数据端口，并通知客户端连接
如果你所使用的FTP服务器是能够处理被动式连接的，此时FTP服务器会先启动一个监听端口。这个端口号码可以是随机的，也可以自定义某一范围的端口，这要看FTP服务器软件而定。然后FTP服务器会通过命令通道告知客户端这个已经启动的端口port pasv，并等待客户端的连接。
客户端随机取用大于1024的端口进行连接
然后客户端会随机取用一个大于1024的端口号来进行对主机的port pasv连接。如果一切都没有问题的话，那么FTP数据就可以通过客户端的随机端口和服务端的port pasv来传送了。

七、pxe+kickstart安装系统原理

7.1 简介
kickstart是一种无人值守的安装方式，它的工作原理是提前定义好了linux安装过程的配置文件，这个配置文件通常为ks.cfg。有了这个文件，可以让Linux在安装过程中按照我们预先定义的要求进行自动化安装，同时对于部署大量主机也非常方便。
PXE（preboot execute environment，预启动执行环境） 是由Intel公司开发的最新技术，工作于Client/Server的网络模式，支持通过网络从远端服务器下载镜像，并由此支持通过网络启动操作系统，在启动过程中，终端要求服务器分配IP地址，再用TFTP（trivial file transfer protocol，简单文件传输协议）协议下载一个启动软件包到本机内存中执行，由这个启动软件包完成终端（客户端）基本软件设置，从而引导安装操作系统。

7.2 PXE的引导过程：
1、PXE client端通过PXE BootROM（自启动芯片）（BIOS里面的PXE固件）广播一个DHCP discover包；
2、支持pxe的DHCP服务器返回分配给客户机的IP以及启动文件的放置位置；
3、PXE client会向本网络中的TFTP服务器索取pxelinux.0（引导文件）、pxelinux.cfg/default（启动菜单配置文件）、vmlinuz（可执行的linux内核，负责安排所有的硬件启动）和initrd.img（驱动程序模块）文件；
5、pxe client由TFTP从服务端下载启动安装程序所必需的文件（pxelinux.0、pxelinux.cfg/default）后，会根据default文件中定义的引导顺序，加载内核和文件系统；
6、这些启动资源其实就是最小的操作系统，这个最小操作系统在装载了网络驱动和TCP/IP协议栈之后，就可以通过HTTP、FTP、NFS方式进行安装；