- 網路參數的設定,請依據底下的方式來設定好你的網路環境:
- 因為我們的系統是 clone 來的,因此裡面的網路卡連線會跑掉。所以,請先刪除所有的連線界面後,
再依據底下的要求逐次建立好你的網路環境:
- 建立 eth0 為外部的連線網卡 (相同的連線界面名稱),使用 ethernet 類型,且:
- IPv4 的 IP位址: 172.18.255.*/24 ,其中 * 為老師規定的 IP 尾數
- gateway 為 172.18.255.254
- DNS 為 172.16.200.254 以及 168.95.1.1
- 使用 teamd 的機制建立內部區域網路的備援功能:
- team 的界面使用 team0 卡號,且連線名稱請命名為 team0
- team 使用 activebackup 備援功能,不要使用 loadbalance
- team 的實體網卡 (team slave) 請使用 eth1 及 eth2 ,且其連線名稱名稱亦請命名為 eth1, eth2
- 內部網路參數為: 172.19.*.254/24,不需要 gateway
- 主機名稱指定為: server*.example.dic
- 最終你的主機名稱與 IP 的對應為:
server*.example.dic 172.18.255.* 別名為 server*
server254.example.dic 172.18.255.254 別名為 server254
server.lan*.example.dic 172.19.*.254 別名為 server
client.lan*.example.dic 172.19.*.1 別名為 client
- 基本的伺服器作業系統設定行為:
- 使用崑山的 FTP 網站作為你的 YUM server 來源,並且清除一次 yum 清單快取
- 安裝相關的軟體,至少須安裝 vim-enhanced, bash-completion, net-tools, mailx, wget, links, bind-utils
- 全系統自動升級,且每天凌晨 3 點也會自動升級一次。(請寫入 /etc/crontab 為主)
- 將 SELinux 修改成為 Enforcing 模式,且未來每次開機都自動為 Enforcing 才行
- 實際設定好本機防火牆
- 請關閉 firewalld 服務,並且自行安裝、啟動 iptables 服務
- 將預設的規則轉存到 /root/firewall.sh 這個檔案內
- 首先將全部的規則刪除 (應該有三條指令)
- 設定好預設政策,讓 INPUT 成為 DROP 而 OUTPUT 與 FORWARD 成為 ACCEPT
- 針對 INPUT 前三條規則為 (1)回應封包 (2)放行 lo 界面 (3)放行 icmp 封包
- 放行你自己的內部區域網路那個網域的連線要求
- 讓 ssh 只對外部的區網放行,不會對 Internet 放行
- 讓 http 針對整個 Internet 放行
- 最後讓確定的規則轉存到 /etc/sysconfig/iptables 這個設定檔
- 重新啟動 iptables 服務,然後觀察規則是否正確
- 實際設定好 Server 的路由功能
- 讓核心支援 IP 轉遞的功能
- 修改 /root/firewall.sh ,增加刪除 nat 表格的規則與自訂鏈
- 增加讓來自內部網路的封包,並預計由 eth0 對外網卡出去的封包,全部偽裝成為 eth0 的 public IP
- 在 /etc/sysconfig/iptables-config 當中增加 nf_nat_ftp 及 nf_conntrack_ftp 模組功能
- 此功能在開機後依舊能夠順利啟動
- 基本的網芳分享設定
- 僅有自己的 (1) lo 亦即是 localhost 內部網路、 (2)外部網域、(3)內部網域可以使用自己這部伺服器的 Samba 服務;
- 這部 Samba 的工作群組為 LINUX,而主機名稱使用 stationXX
- 讓 alex, dora, vitor 能夠使用網芳取得自己的家目錄,且能夠從遠端掛載使用!
這三個帳號的密碼都是 mylinux
yum install samba
yum install samba-client
yum install samba-common
systemctl start smb
systemctl enable smb
vim /etc/samba/smb.conf
[global]
workgroup = LINUX
netbios name = stationXX
hosts allow = 127. 172.18.255. 172.19.*.
useradd alex
useradd dora
useradd vitor
pdbedit -a -u alex
pdbedit -a -u dora
pdbedit -a -u vitor
setsebool -P samba_enable_home_dirs on
systemctl restart smb
- 專題共享之 Samba 設定
- alex, dora, vitor 為三個專題組員,他們預計加入群組名稱為 vhost 群組的次要群組支援
- 這三個人想要共享 /srv/myvhost 目錄,這三個帳號可以具有完整權限,但非專題組員則沒有任何權限
- 這三個人想要使用 Samba 分享資源,分享的目錄就這個 /srv/myvhost,但分享的資源名稱想設定為 vhostdir,
且這個目錄是可以被瀏覽的,但需要有帳密才能登入!
- 另建立一個名為 admin1 的帳號,這個帳號可以唯讀使用 /srv/myvhost,且可以完整使用 /srv/myvhost/toadmin 目錄。
- admin1 也可以使用 vhostdir 這個 Samba 資源,且登入密碼為 myadmin。
groupadd vhost
usermod -G vhost alex
usermod -G vhost dora
usermod -G vhost vitor
mkdir /srv/myvhost
chgrp vhost /srv/myvhost
chmod 2770 /srv/myvhost
useradd admin1
pdbedit -a -u admin1
mkdir /srv/myvhost/toadmin
setfacl -m d:u:admin1:rx /srv/myvhost
setfacl -m d:u:admin1:rwx /srv/myvhost/toadmin
vim /etc/samba/smb.conf
[vhostdir]
path = /srv/myvhost
public = no
browseable = yes
writable = yes
create mask = 0664
directory mask = 0775
valid users = admin1, @vhost
cifscreds add 127.0.0.1
chcon -t samba_share_t /srv/myvhost -R
systemctl restart smb