ntp、dhcp、samba、NFS、ftp的簡(jiǎn)化配置

1、ntp
NTP的相關(guān)配置文件
端口號(hào)：ipv4 udp 123（源端口：接收客戶端請(qǐng)求的）、

先處理權(quán)限方面的問(wèn)題，包括放行上層服務(wù)器以及開(kāi)放局域網(wǎng)用戶來(lái)源：
restrict default kod nomodify notrap nopeer noquery <==拒絕 IPv4 的用戶
restrict -6 default kod nomodify notrap nopeer noquery <==拒絕 IPv6 的用戶
restrict 220.130.158.71 <==放行 tock.stdtime.gov.tw 進(jìn)入本 NTP 的服務(wù)器
restrict 59.124.196.83 <==放行 tick.stdtime.gov.tw 進(jìn)入本 NTP 的服務(wù)器
restrict 59.124.196.84 <==放行 time.stdtime.gov.tw 進(jìn)入本 NTP 的服務(wù)器
restrict 127.0.0.1 <==底下兩個(gè)是默認(rèn)值，放行本機(jī)來(lái)源
restrict -6 ::1
restrict 192.168.100.0 mask 255.255.255.0 nomodify <==放行局域網(wǎng)用戶來(lái)源，或者列出單獨(dú)IP

設(shè)定主機(jī)來(lái)源，請(qǐng)先將原本的 [0|1|2].centos.pool.ntp.org 的設(shè)定批注掉：
server 220.130.158.71 prefer <==以這部主機(jī)為最優(yōu)先的server
server 59.124.196.83
server 59.124.196.84

默認(rèn)的一個(gè)內(nèi)部時(shí)鐘數(shù)據(jù)，用在沒(méi)有外部 NTP 服務(wù)器時(shí)，使用它為局域網(wǎng)用戶提供服務(wù)：
server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10

預(yù)設(shè)時(shí)間差異分析檔案與暫不用到的 keys 等，不需要更動(dòng)它：
driftfile /var/lib/ntp/drift
keys /etc/ntp/keys

2、dhcp

DHCP的相關(guān)配置文件
端口號(hào)：ipv4 udp 67（源端口：接收客戶端請(qǐng)求的）、

udp 68（目的端口：向客戶端發(fā)送請(qǐng)求成功或失敗的回應(yīng)）

   ipv6  udp 546、udp 547

服務(wù)名：dhcpd、dhcrelay

主配置文件：/etc/dhcp/dhcpd.conf

模板文件：/usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample

中繼配置文件：/etc/sysconfig/dhcrelay

執(zhí)行程序：/usr/sbin/dhcpd、/usr/sbin/dhcrelay

服務(wù)腳本：/etc/init.d/dhcpd、/etc/init.d/dhcrelay

執(zhí)行參數(shù)配置：/etc/sysconfig/dhcpd

查看租約文件:/var/lib/dhcpd/dhcpd.lease

很多網(wǎng)絡(luò)服務(wù)的排錯(cuò)日志：/var/log/messages

1）這部分是全局設(shè)置

option domain-name"zzhz.com"; #設(shè)置"域名"體現(xiàn)在/etc/resolv.conf中的search

option domain-name-servers IP1, IP2; # DNS設(shè)置，會(huì)修改客戶端的/etc/resolv.conf

default-lease-time 259200; 租約時(shí)間

max-lease-time 518400; 最大租約時(shí)間

ddns-update-style none; #也有這個(gè)值 interim;

ignore client-updates;

2）subnet ：指定子網(wǎng)作用域(動(dòng)態(tài)IP)

subnet 192.168.0.0 netmask 255.255.255.0 {

range dynamic-bootp 192.168.0.128 192.168.0.254; #地址范圍 有使用這個(gè)range dynamic-BOOTP

option routers 192.168.0.1; #網(wǎng)關(guān)

option subnet-mask 255.255.255.0; #子網(wǎng)掩碼

option nis-domain "domain.org";

option broadcast-address 192.168.0.255;#廣播地址

option time-offset -18000; #時(shí)區(qū)時(shí)間

option ntp-servers 192.168.1.1;

option netbios-name-servers 192.168.1.1;

option netbios-node-type 2;

3）固定IP地址設(shè)置
　　host win7 {
　　hardware ethernet 12:34:56:78:AB:CD;
　　fixed-address 207.175.42.254;
　　}
}

3、samba

/etc/samba/smb.conf

[global]

    workgroup = MYGROUP

    server string = Samba Server Version %v

    security = user

    passdb backend = tdbsam

    load printers = yes

    cups options = raw

[homes]

    comment = Home Directories

    browseable = no

    writable = yes

[printers]

    comment = All Printers

    path = /var/spool/samba

    browseable = no

    guest ok = no

    writable = no

    printable = yes

主要有以上三個(gè)部分：[global], [homes], [printers]。

[global] 定義全局的配置，”workgroup”用來(lái)定義工作組，相信如果你安裝過(guò)windows的系統(tǒng)，你會(huì)對(duì)這個(gè)workgroup不陌生。一般情況下，需要我們把這里的”MYGROUP”改成”WORKGROUP”（windows默認(rèn)的工作組名字）。

security = user #這里指定samba的安全等級(jí)。關(guān)于安全等級(jí)有四種：

share：用戶不需要賬戶及密碼即可登錄samba服務(wù)器

user：由提供服務(wù)的samba服務(wù)器負(fù)責(zé)檢查賬戶及密碼（默認(rèn)）

server：檢查賬戶及密碼的工作由另一臺(tái)windows或samba服務(wù)器負(fù)責(zé)

domain：指定windows域控制服務(wù)器來(lái)驗(yàn)證用戶的賬戶及密碼。

passdb backend = tdbsam # passdb backend （用戶后臺(tái)），samba有三種用戶后臺(tái)：smbpasswd, tdbsam和ldapsam.

smbpasswd：該方式是使用smb工具smbpasswd給系統(tǒng)用戶（真實(shí)用戶或者虛擬用戶）設(shè)置一個(gè)Samba 密碼，客戶端就用此密碼訪問(wèn)Samba資源。smbpasswd在/etc/samba中，有時(shí)需要手工創(chuàng)建該文件。

tdbsam：使用數(shù)據(jù)庫(kù)文件創(chuàng)建用戶數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)文件叫passdb.tdb，在/etc/samba中。passdb.tdb用戶數(shù)據(jù)庫(kù)可使用smbpasswd –a創(chuàng)建Samba用戶，要?jiǎng)?chuàng)建的Samba用戶必須先是系統(tǒng)用戶。也可使用pdbedit創(chuàng)建Samba賬戶。pdbedit參數(shù)很多，列出幾個(gè)主要的：

pdbedit –a username：新建Samba賬戶。

pdbedit –x username：刪除Samba賬戶。

pdbedit –L：列出Samba用戶列表，讀取passdb.tdb數(shù)據(jù)庫(kù)文件。

pdbedit –Lv：列出Samba用戶列表詳細(xì)信息。

pdbedit –c “[D]” –u username：暫停該Samba用戶賬號(hào)。

pdbedit –c “[]” –u username：恢復(fù)該Samba用戶賬號(hào)。

ldapsam：基于LDAP賬戶管理方式驗(yàn)證用戶。首先要建立LDAP服務(wù)，設(shè)置“passdb backend = ldapsam:ldap://LDAP Server”

load printers 和 cups options 兩個(gè)參數(shù)用來(lái)設(shè)置打印機(jī)相關(guān)。

除了這些參數(shù)外，還有幾個(gè)參數(shù)需要你了解：

netbios name = MYSERVER # 設(shè)置出現(xiàn)在“網(wǎng)上鄰居”中的主機(jī)名

hosts allow = 127. 192.168.12. 192.168.13. # 用來(lái)設(shè)置允許的主機(jī)，如果在前面加”;”則表示允許所有主機(jī)

log file = /var/log/samba/%m.log #定義samba的日志，這里的%m是上面的netbios name

max log size = 50 # 指定日志的最大容量，單位是K

[homes] 該部分內(nèi)容共享用戶自己的家目錄，也就是說(shuō)，當(dāng)用戶登錄到samba服務(wù)器上時(shí)實(shí)際上是進(jìn)入到了該用戶的家目錄，用戶登陸后，共享名不是homes而是用戶自己的標(biāo)識(shí)符，對(duì)于單純的文件共享的環(huán)境來(lái)說(shuō)，這部分可以注視掉。

[printers] 該部分內(nèi)容設(shè)置打印機(jī)共享。

4、NFS

RH系操作系統(tǒng)在6.0版本之后沒(méi)有portmap服務(wù)控制rpc的啟動(dòng)，由于NFS和nfslock的啟動(dòng)需要向rpc進(jìn)行注冊(cè)，rpc不啟動(dòng)的話就會(huì)報(bào)錯(cuò)。

/etc/exports

/data/lys 192.168.2.0/24(rw,no_root_squash,no_all_squash,sync)

常見(jiàn)的參數(shù)則有：

參數(shù)值 內(nèi)容說(shuō)明
rw　　ro 該目錄分享的權(quán)限是可擦寫(xiě) (read-write) 或只讀 (read-only)，但最終能不能讀寫(xiě)，還是與文件系統(tǒng)的 rwx 及身份有關(guān)。

sync　　async sync 代表數(shù)據(jù)會(huì)同步寫(xiě)入到內(nèi)存與硬盤(pán)中，async 則代表數(shù)據(jù)會(huì)先暫存于內(nèi)存當(dāng)中，而非直接寫(xiě)入硬盤(pán)！

no_root_squash　　root_squash 客戶端使用 NFS 文件系統(tǒng)的賬號(hào)若為 root 時(shí)，系統(tǒng)該如何判斷這個(gè)賬號(hào)的身份？預(yù)設(shè)的情況下，客戶端 root 的身份會(huì)由 root_squash 的設(shè)定壓縮成 nfsnobody， 如此對(duì)服務(wù)器的系統(tǒng)會(huì)較有保障。但如果你想要開(kāi)放客戶端使用 root 身份來(lái)操作服務(wù)器的文件系統(tǒng)，那么這里就得要開(kāi) no_root_squash 才行！

all_squash 不論登入 NFS 的使用者身份為何， 他的身份都會(huì)被壓縮成為匿名用戶，通常也就是 nobody(nfsnobody) 啦！

anonuid　　anongid anon 意指 anonymous (匿名者) 前面關(guān)于 *_squash 提到的匿名用戶的 UID 設(shè)定值，通常為 nobody(nfsnobody)，但是你可以自行設(shè)定這個(gè) UID 的值！當(dāng)然，這個(gè) UID 必需要存在于你的 /etc/passwd 當(dāng)中！ anonuid 指的是 UID 而 anongid 則是群組的 GID 啰。

5、ftp

控制連接 21端口 用于發(fā)送ftp命令

數(shù)據(jù)連接 20端口 用于上傳下載數(shù)據(jù)

anonymous_enable=YES 開(kāi)啟匿名用戶訪問(wèn)；

local_enable=YES 啟用本地系統(tǒng)用戶訪問(wèn)；

write_enable=YES 本地系統(tǒng)用戶寫(xiě)入權(quán)限；

local_umask=022 本地用戶創(chuàng)建文件及目錄默認(rèn)權(quán)限掩碼；

dirmessage_enable=YES 打印目錄顯示信息，通常用于用戶第一次訪問(wèn)目錄時(shí)，信息提示；

xferlog_enable=YES 啟用上傳/下載日志記錄；

connect_from_port_20=YES FTP使用20端口進(jìn)行數(shù)據(jù)傳輸；

xferlog_std_format=YES 日志文件將根據(jù)xferlog的標(biāo)準(zhǔn)格式寫(xiě)入；

listen=NO Vsftpd不以獨(dú)立的服務(wù)啟動(dòng)，通過(guò)Xinetd服務(wù)管理，建議改成YES；

listen_ipv6=YES 啟用IPV6監(jiān)聽(tīng)；

pam_service_name=vsftpd 登錄FTP服務(wù)器，依據(jù)/etc/pam.d/vsftpd中內(nèi)容進(jìn)行認(rèn)證；

userlist_enable=YES Vsftpd.user_list和ftpusers配置文件里用戶禁止訪問(wèn)FTP；

tcp_wrappers=YES 設(shè)置vsftpd與tcp wrapper結(jié)合進(jìn)行主機(jī)的訪問(wèn)控制，Vsftpd服務(wù)器檢查/etc/hosts.allow 和/etc/hosts.deny中的設(shè)置，來(lái)決定請(qǐng)求連接的主機(jī)，是否允許訪問(wèn)該FTP服務(wù)器。

匿名用戶完整vsftpd.conf配置文件代碼如下：

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

Vsftpd系統(tǒng)用戶配置

（1） Linux系統(tǒng)中創(chuàng)建系統(tǒng)用戶jfedu1、jfedu2，分別設(shè)置密碼為123456：

useradd jfedu1

useradd jfedu2

echo 123456|passwd --stdin jfedu1

echo 123456|passwd --stdin jfedu2

（2） 修改vsftpd.conf配置文件代碼如下：

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

Vsftpd虛擬用戶配置

（1） 安裝Vsftpd虛擬用戶需用到的軟件及認(rèn)證模塊：

yum install pam libdb-utils libdb --skip-broken -y

（2） 創(chuàng)建虛擬用戶臨時(shí)文件/etc/vsftpd/ftpusers.txt，新建虛擬用戶和密碼，其中jfedu001、jfedu002為虛擬用戶名，123456為密碼，如果有多個(gè)用戶，依次格式填寫(xiě)即可：

jfedu001

123456

jfedu002

123456

（3） 生成Vsftpd虛擬用戶數(shù)據(jù)庫(kù)認(rèn)證文件，設(shè)置權(quán)限700：

db_load -T -t hash -f /etc/vsftpd/ftpusers.txt /etc/vsftpd/vsftpd_login.db

chmod 700 /etc/vsftpd/vsftpd_login.db

（4） 配置PAM認(rèn)證文件，/etc/pam.d/vsftpd行首加入如下兩行：

auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login

account required pam_userdb.so db=/etc/vsftpd/vsftpd_login

（5） 所有Vsftpd虛擬用戶需要映射到一個(gè)系統(tǒng)用戶，該系統(tǒng)用戶不需要密碼，也不需要登錄，主要用于虛擬用戶映射使用，創(chuàng)建命令如下：

useradd -s /sbin/nologin ftpuser

（6） 完整vsftpd.conf配置文件代碼如下：

#global config Vsftpd 2017

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

userlist_enable=YES

tcp_wrappers=YES

#config virtual user FTP

pam_service_name=vsftpd

guest_enable=YES

guest_username=ftpuser

user_config_dir=/etc/vsftpd/vsftpd_user_conf

virtual_use_local_privs=YES

如上Vsftpd虛擬用戶配置文件參數(shù)詳解：

#config virtual user FTP

pam_service_name=vsftpd 虛擬用戶啟用pam認(rèn)證；

guest_enable=YES 啟用虛擬用戶；

guest_username=ftpuser 映射虛擬用戶至系統(tǒng)用戶ftpuser；

user_config_dir=/etc/vsftpd/vsftpd_user_conf 設(shè)置虛擬用戶配置文件所在的目錄；

virtual_use_local_privs=YES 虛擬用戶使用與本地用戶相同的權(quán)限。

（7） 至此，所有虛擬用戶共同基于/home/ftpuser主目錄實(shí)現(xiàn)文件上傳與下載，可以在/etc/vsftpd/vsftpd_user_conf目錄創(chuàng)建虛擬用戶各自的配置文件，創(chuàng)建虛擬用戶配置文件主目錄:

mkdir -p /etc/vsftpd/vsftpd_user_conf/

（8） 如下分別為虛擬用戶jfedu001、jfedu002用戶創(chuàng)建配置文件：

/etc/vsftpd/vsftpd_user_conf/jfedu001，同時(shí)創(chuàng)建私有的虛擬目錄，代碼如下：

local_root=/home/ftpuser/jfedu001

write_enable=YES

anon_world_readable_only=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

/etc/vsftpd/vsftpd_user_conf/jfedu002，同時(shí)創(chuàng)建私有的虛擬目錄，代碼如下：

local_root=/home/ftpuser/jfedu002

write_enable=YES

anon_world_readable_only=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

虛擬用戶配置文件內(nèi)容詳解：

local_root=/home/ftpuser/jfedu002 jfedu002虛擬用戶配置文件路徑；

write_enable=YES 允許登陸用戶有寫(xiě)權(quán)限；

anon_world_readable_only=YES 允許匿名用戶下載，然后讀取文件；

anon_upload_enable=YES 允許匿名用戶上傳文件，只有在write_enable=YES時(shí)該參數(shù)才生效；

anon_mkdir_write_enable=YES 允許匿名用戶創(chuàng)建目錄，只有在write_enable=YES時(shí)該參數(shù)才生效；

anon_other_write_enable=YES 允許匿名用戶其他權(quán)限，例如刪除、重命名等。

（9） 創(chuàng)建虛擬用戶各自虛擬目錄：

mkdir -p /home/ftpuser/{jfedu001,jfedu002}

chown -R ftpuser:ftpuser /home/ftpuser

重啟Vsftpd服務(wù)，通過(guò)Windows客戶端資源管理器登錄Vsftpd服務(wù)端