linux系統學習第十天-<<工程師技術>>

時間 2019-11-11

標籤 linux 系統學習第十工程師技術欄目 Linux 简体版

原文原文鏈接

兩臺虛擬機，均要檢測vim

1. Yum是否可用
2. 防火牆默認區域修改成trusted
3. IP地址是否配置安全

####################################################網絡

samba 文件共享（共享文件夾）加密

• Samba 軟件項目
– 用途:爲客戶機提供共享使用的文件夾
– 協議:SMB(TCP 139)、CIFS(TCP 445)rest

• 所需軟件包:samba
• 系統服務:smbserver

1、搭建基本samba服務
1.安裝samba軟件包
2.建立samba的共享賬號。與系統相同用戶名，不一樣密碼ci

[root@server0 ~]# useradd -s /sbin/nologin harry
[root@server0 ~]# useradd -s /sbin/nologin kenji
[root@server0 ~]# useradd -s /sbin/nologin chihiro資源

[root@server0 ~]# pdbedit -a harry #添加samba賬號，設置密碼
[root@server0 ~]# pdbedit -a kenji #添加samba賬號，設置密碼
[root@server0 ~]# pdbedit -a chihiro #添加samba賬號，設置密碼部署

[root@server0 ~]# pdbedit -L #列出全部有效的samba賬號get

3.修改服務配置文件 /etc/samba/smb.conf

補充：vim 末行模式 set nu 添加行號

    89行          workgroup = STAFF
    321行     [common]                          #共享名
    322行        path = /common      #共享實際路徑

[root@server0 ~]# mkdir /common
[root@server0 ~]# echo haha > /common/abc.txt

4. 重起smb服務，設置爲開機自起

虛擬機Desktop0
• 所需軟件包:samba-client

[root@desktop0 ~]# smbclient -L //172.25.0.11
Enter root's password:

[root@desktop0 ~]# smbclient -U harry //172.25.0.11/common
Enter harry's password:
Domain=[STAFF] OS=[Unix] Server=[Samba 4.1.1]
smb: \> ls
NT_STATUS_ACCESS_DENIED listing \*

思路：客戶端訪問服務端資源
1.防火牆是否限制
2.服務自己的訪問控制
3.SELinux 是否限制

SELinux：布爾值（功能的開關）

• getsebool 查看 SELinux 開關
[root@server0 ~]# getsebool -a | grep samba
samba_export_all_ro --> off
samba_export_all_rw --> off

• setsebool 控制 SELinux 開關
– 須要加 -P 選項才能實現永久設置
[root@server0 ~]# setsebool samba_export_all_ro=on
[root@server0 ~]# getsebool -a | grep samba

虛擬機Desktop0
[root@desktop0 ~]# smbclient -U harry //172.25.0.11/common
Enter harry's password:
Domain=[STAFF] OS=[Unix] Server=[Samba 4.1.1]
smb: \> ls

• 所需軟件包:cifs-utils

_netdev: 開啓網絡服務後在改在該設備

1.安裝軟件包cifs-utils
2.修改/etc/fstab

//172.25.0.11/common /mnt/samba cifs user=harry,pass=123,_netdev 0 0

3. mount -a 驗證
df -h

########################################################
Samba讀寫的共享

1.修改配置文件/etc/samba/smb.conf

[devops]
path = /devops
write list = chihiro

[root@server0 /]# mkdir /devops
[root@server0 /]# echo hahaxixi > /devops/123.txt
2.重起smb服務
3.客戶端驗證：
[root@desktop0 ~]# smbclient -L 172.25.0.11
Enter root's password:

4.客戶端掛載驗證
[root@desktop0 ~]# mkdir /mnt/dev
[root@desktop0 ~]# vim /etc/fstab
//172.25.0.11/devops /mnt/dev cifs user=chihiro,pass=123,_netdev 0 0
[root@desktop0 ~]# mount -a
[root@desktop0 ~]# df -h

##################################################
實現讀寫Samba共享的其餘操做

思路：客戶端訪問服務端資源
    1.防火牆是否限制
    2.服務自己的訪問控制
3.SELinux 是否限制
    4. 服務端目錄本地權限

1、修改服務端SELinux布爾值，開放讀寫
[root@server0 /]# getsebool -a | grep samba
[root@server0 /]# setsebool samba_export_all_rw=on
[root@server0 /]# getsebool -a | grep samba

2、目錄本地權限
[root@server0 /]# ls -ld /devops/
[root@server0 /]# setfacl -m u:chihiro:rwx /devops/
[root@server0 /]# getfacl /devops/

3、客戶端驗證
[root@desktop0 ~]# touch /mnt/dev/test.txt

########################################################
multiuser多用戶訪問(瞭解)

– multiuser,提供對客戶端多個用戶身份的區分支持
– sec=ntlmssp,提供NT局域網管理安全支持

客戶端完成：
[root@desktop0 /]# vim /etc/fstab
//172.25.0.11/devops /mnt/dev cifs user=kenji,pass=123,_netdev,multiuser,sec=ntlmssp 0 0

[root@desktop0 /]# umount /mnt/dev/
[root@desktop0 /]# mount -a
[root@desktop0 /]# df -h

[root@desktop0 /]# su - student
[student@desktop0 dev]$ cd /mnt/dev
[student@desktop0 dev]$ cifscreds add -u chihiro 172.25.0.11
Password:
[student@desktop0 dev]$ ls
[student@desktop0 dev]$ touch abc.txt
[student@desktop0 dev]$ exit

#########################################################
配置NFS共享

• Network File System,網絡文件系統
– 用途:爲客戶機提供共享使用的文件夾
– 協議:NFS(TCP/UDP 2049)、RPC(TCP/UDP 111)

• 所需軟件包: nfs-utils
• 系統服務: nfs-server

搭建基本的只讀NFS服務
1.在虛擬機server0上，檢測nfs-utils是否安裝
[root@server0 /]# rpm -q nfs-utils

2.修改配置文件/etc/exports
[root@server0 /]# mkdir /public
[root@server0 /]# echo hehelele > /public/nsd.txt
[root@server0 /]# vim /etc/exports

/public 172.25.0.0/24(ro)

3.重起nfs-server服務，設置開機自起
[root@server0 /]# systemctl restart nfs-server
[root@server0 /]# systemctl enable nfs-server

4.客戶端訪問nfs-server服務
[root@desktop0 /]# mkdir /mnt/nfs
[root@desktop0 /]# showmount -e 172.25.0.11
[root@desktop0 /]# vim /etc/fstab

172.25.0.11:/public /mnt/nfs nfs _netdev 0 0

[root@desktop0 /]# mount -a
[root@desktop0 /]# ls /mnt/nfs
#######################################################

讀寫nfs-server服務

一.客戶端root用戶的讀寫
服務端：
[root@server0 /]# mkdir /abc
[root@server0 /]# echo 123 > /abc/a.txt
[root@server0 /]# vim /etc/exports
/abc 172.25.0.0/24(rw)

[root@server0 /]# systemctl restart nfs-server

客戶端：
[root@desktop0 /]# vim /etc/fstab
172.25.0.11:/abc /mnt/nsd nfs _netdev 0 0

[root@desktop0 /]# mkdir /mnt/nsd
[root@desktop0 /]# mount -a
[root@desktop0 /]# df -h

服務端：
[root@server0 /]# vim /etc/exports
/abc 172.25.0.0/24(rw,no_root_squash) #不壓榨客戶端root權限

[root@server0 /]# systemctl restart nfs-server

客戶端：

[root@desktop0 /]# systemctl restart nfs #重起客戶端服務
[root@desktop0 /]# touch /mnt/nsd/5.txt

2、普通用戶

客戶端普通用戶訪問服務端nfs-server服務，
服務端會以客戶端相同UID身份的本地用戶進行權限斷定

LDAP ：網絡用戶,提供用戶名
kerberos ：密碼驗證，實現「一次密碼認證,屢次免密登陸」的通行證機制

服務端：
[root@server0 /]# lab nfskrb5 setup
[root@server0 /]# grep ldapuser0 /etc/passwd
[root@server0 /]# id ldapuser0

1.部署kerberos加密的密鑰文件
wget http://172.25.254.254/pub/keytabs/server0.keytab -O /etc/krb5.keytab
[root@server0 /]# ls /etc/krb5.keytab

2.修改配置文件
[root@server0 /]# vim /etc/exports
/abc 172.25.0.0/24(rw,no_root_squash,sec=krb5p)

3.重起nfs-server與nfs-secure-server
# systemctl restart nfs-server nfs-secure-server

客戶端：
[root@desktop0 /]# lab nfskrb5 setup
[root@desktop0 /]# grep ldapuser0 /etc/passwd
[root@desktop0 /]# id ldapuser0

1.部署kerberos加密的密鑰文件
wget http://172.25.254.254/pub/keytabs/desktop0.keytab -O /etc/krb5.keytab

[root@desktop0 /]# ls /etc/krb5.keytab

2.修改/etc/fstab
172.25.0.11:/abc /mnt/nsd nfs _netdev,sec=krb5p 0 0

3.重起nfs與nfs-secure服務
[root@desktop0 /]# systemctl restart nfs nfs-secure

4.驗證掛載 [root@desktop0 /]# umount /mnt/nsd [root@desktop0 /]# mount -a [root@desktop0 /]# df -ah

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。