Linux基础服务上篇串讲
课前说明
- 以实际需求串烧二阶段前5天所学知识点
- 目的是把学到的东西融入到实际工作中
- 通过综合考核了解同学们对知识的灵活掌握情况
一、实战演练
需求1:
背景/任务:
为了最大程度的保护公司内网服务器的安全,公司内部有一台服务器做跳板机。运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。由于业务需求,运维人员经常要ssh登录到某几台服务器上做一些操作,为了提高工作效率,运维人员需要免密码登录到指定的几台服务器。
环境:
| 角色 | IP |
|---|---|
| jumper-server | 192.168.199.107/10.1.1.1 |
| app1-server | 10.1.1.2 |
| app2-server | 10.1.1.3 |
| app3-server | 10.1.1.4 |
要求如下:
- 运维人员所在的办公区只能访问跳板机(windows作为终端机)
- 应用服务器允许跳板机访问
- 运维人员通过跳板机,使用管理员账号yunwei,可以免密码以业务用户pos分别登录到app1~app3上
涉及知识点:
- 网络配置
- ssh服务、ssh服务基于密钥对认证(免密码登录)
- ssh服务的访问控制
需求2:
背景/任务:
- 为了能够使新入职运维同事快速熟悉公司环境,提高工作效率,需要将公司线上线下环境所涉及到的技术文档归纳整理后共享给运维部门同事,以便日后学习。
- 由于业务需求,运维人员需要将数据库的部分数据导出并共享给负责相关业务数据分析的同事。
- 由于业务需求,需要将windows server2008上的数据文件导入到Linux服务器上的oracle数据库里。
要求如下:
- 只有运维部门员工可以对公司内部线上线下所涉及到的技术文档进行查看和修改。(任务1)
- 数据分析的同事每天需要拿到最新的业务数据。(任务2)
- 每天早上4点03分导入到数据库并且要求有日志记录。(任务3)
涉及知识点:
- 文件共享服务(FTP/NFS/SAMBA)
- 计划任务
- 脚本定期清理日志
- rsync数据同步(可能会涉及)
- 分析并选择最有效的办法解决问题的能力
二、理论知识
1. 关于ssh服务
一问:
==sshd服务是干什么的?ssh又是什么?为什么要讲ssh?==
二问:
==ssh的两种加密算法是什么?==
- des 对称的公钥加密算法,安全低,数据传输速度快;使用同一个秘钥进行加密或解密
- rsa 非对称的公钥加密算法,安全,数据传输速度慢 ,SSH默认的加密算法
补充了解:
DSA数字签名,非对称加密的另一种实现。
DSA-Digital Signature Algorithm 是Schnorr和ElGamal签名算法的变种。简单的说,这是一种更高级的验证方式,用作数字签名。不单单只有公钥、私钥,还有数字签名。私钥加密生成数字签名,公钥验证数据及签名。如果数据和签名不匹配则认为验证失败!数字签名的作用就是校验数据在传输过程中不被修改。
1、远程Server收到Client端用户的登录请求后,Server端把自己的公钥发给用户 2、Client端使用这个公钥,将密码进行加密 3、Client将加密的密码发送给Server端 4、远程Server用自己的私钥,解密登录密码,然后验证其合法性 5、根据验证结果,给Client相应的响应。
三问:
==SSH中是如何解决这个问题的呢?==
- 基于用户密码的认证
[root@MissHou ~]# ssh 192.168.10.171The authenticity of host '192.168.10.171 (192.168.10.171)' can't be established.RSA key fingerprint is 9f:71:de:3c:86:25:dd:f0:06:78:ab:ba:96:5a:e4:95.Are you sure you want to continue connecting (yes/no)?提示信息:无法确认主机192.168.10.171的真实性,指纹是9f:71:de:3c:86:25:dd:f0:06:78:ab:ba:96:5a:e4:95.,你确定想要继续吗?
说明: 理论上应该是对公钥的确认,由于公钥通过RSA算法加密,太长,不好直接比较,所以给公钥生成一个hash的指纹,方便比较。
xxxxxxxxxx[root@MissHou ~]# ssh 192.168.10.171The authenticity of host '192.168.10.171 (192.168.10.171)' can't be established.RSA key fingerprint is 9f:71:de:3c:86:25:dd:f0:06:78:ab:ba:96:5a:e4:95.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added '192.168.10.171' (RSA) to the list of known hosts.root@192.168.10.171's password: 说明:
当客户端输入yes确认对方的公钥指纹后,server端的公钥就会被存放到客户机的用户家目录里~/.ssh/known_hosts文件中,下次再访问就直接通过密码登录,不需要再确认公钥。
基于秘钥对的认证(免密码登录)
- 假设A主机免密码登录B主机
- 相关文件解读:
- id_rsa:保存私钥
- id_rsa.pub:保存公钥
- authorized_keys:保存已授权的客户端公钥
- known_hosts:保存已认证的远程主机公钥
2. 文件共享服务
一问:
==常见的文件共享服务都有哪些?各自有什么特点?应用场景有哪些?==
二问:
==FTP服务的工作模式有哪两种,分别有什么优缺点?==
三问:
==企业里NFS一般用来做什么?==
三、具体操作步骤
需求1:
思路:
- 根据要求安装一台全新的Linux服务器,配置好基本环境(网络配置、主机名等)
- 创建一个管理员账号yunwei,并赋予必要的管理权限,权限最小化,尽量避免root直接登录
- 在跳板机上使用yunwei用户配置免密码登录app1-app3的pos用户
- 测试验证
实验环境:
xxxxxxxxxx跳板机:IP:10.1.1.1和192.168.0.10 HOSTNAME:Jumper.itcast.cc应用服务器:IP:10.1.1.2 HOSTNAME:app1.itcast.cc说明:应用服务器可以根据自己情况增加多台,我这里就一台了。步骤:
xroot ALL=(ALL) ALLyunwei ALL=(root) ALL, !/sbin/halt, !/sbin/shutdown, !/bin/rm /
需求2:
要求如下:
- 只有运维部门员工可以对公司内部线上线下所涉及到的技术文档进行查看和修改。(任务1)
- 数据分析的同事每天需要拿到最新的业务数据。(任务2)
- 每天早上4点03分导入到数据库并且要求有日志记录。(任务3)
思路:
- 根据不同需求选择适合的文件共享服务
- 根据实际情况,尽可能减少手工工作量
步骤:
xxxxxxxxxx任务1:任务2:任务3:
四、yum源配置实战
####需求1:
系统使用最小化安装,现需要安装一些基础软件包,请根据系统镜像配置本地yum源
步骤
自己补充
####需求2:
Centos默认使用自带的国外源,由于网络问题请将其替换为国内的阿里云源,163源,sohu源其中之一
重点配置文件
xxxxxxxxxx[server]name=xxxbaseurl=http://mirrors.aliyun.com/centos/6/os/x86_64/http://mirrors.163.com/centos/6/os/x86_64/http://mirrors.sohu.com/centos/6/os/x86_64/enabled=1gpgcheck=0
####需求3:
通过两种方式搭建EPEL源
方法1:下载相应的rpm包后直接安装
http://mirrors.aliyun.com/epel/6/x86_64/epel-release-6-8.noarch.rpm
http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm
xxxxxxxxxx[root@MissHou yum.repos.d]# wget -P /tmp http://mirrors.aliyun.com/epel/6/x86_64/epel-release-6-8.noarch.rpm--2018-04-15 21:52:04-- http://mirrors.aliyun.com/epel/6/x86_64/epel-release-6-8.noarch.rpmResolving mirrors.aliyun.com... 219.238.20.83, 219.238.20.101, 219.238.20.84, ...Connecting to mirrors.aliyun.com|219.238.20.83|:80... connected.HTTP request sent, awaiting response... 200 OKLength: 14540 (14K) [application/x-redhat-package-manager]Saving to: “/tmp/epel-release-6-8.noarch.rpm”100%[===================================================================================================================>] 14,540 --.-K/s in 0.04s2018-04-15 21:52:05 (340 KB/s) - “/tmp/epel-release-6-8.noarch.rpm” saved [14540/14540][root@MissHou yum.repos.d]# lsbakup demo.repo[root@MissHou yum.repos.d]# ls /tmp/epel-release-6-8.noarch.rpm/tmp/epel-release-6-8.noarch.rpm[root@MissHou yum.repos.d]# rpm -ivh /tmp/epel-release-6-8.noarch.rpmwarning: /tmp/epel-release-6-8.noarch.rpm: Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEYPreparing... ########################################### [100%]1:epel-release ########################################### [100%][root@MissHou yum.repos.d]# lsbakup demo.repo epel.repo epel-testing.repo说明:1. 安装完epel-release-6-8.noarch.rpm包后,默认/etc/yum.repos.d/目录里多出epel.repo和epel-testing.repo文件2. 只要可以上网,epel源就自动配置好了方法2:直接修改配置文件
xxxxxxxxxx[aliyun]name=xxxxbaseurl=http://mirrors.aliyun.com/epel/6/x86_64/enabled=1gpgcheck=0
需求4:
搭建能够提供指定软件包的安装,如Nginx和MySQL的yum源
xxxxxxxxxxNginx:[root@MissHou ~]# vim /etc/yum.repos.d/nginx.repo[nginx]name=nginx repobaseurl=http://nginx.org/packages/centos/6/x86_64/gpgcheck=0enabled=1MySQL:通过下载以下rpm包安装可以自动帮助配置yum源,只需要安装即可。http://repo.mysql.com/mysql-community-release-el6-5.noarch.rpm http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
总结
1. yum源分类:
本地yum源(重点掌握)、网络yum源(掌握)、自建yum源(了解)
2. yum源的优缺点
- 优点:可以帮我们解决依赖关系
- 缺点:需要配置
3. 配置yum源的核心思想
需要有个仓库(仓库里有软件并且还有软件之间的依赖关系)
- 如果仓库在本地——>本地仓库(本地源)
- 如果仓库在网络上(外网|内网)——>网络仓库(网络源)
需要修改/etc/yum.repos.d/目录里以*.repo结尾的文件告诉yum工具去哪个仓库找软件包
xxxxxxxxxx[repositoryid] //仓库名或ID不要有特殊符号name=Some name for this repository //仓库描述baseurl=url://path/to/repository/ //仓库路径enabled=1 //启用仓库gpgcheck=0 //不校验仓库里软件包的签名[repositoryid]name=Some name for this repositorybaseurl=url://server1/path/to/repository/url://server2/path/to/repository/url://server3/path/to/repository/enabled=1gpgcheck=0