kk Blog —— 通用基础


date [-d @int|str] [+%s|"+%F %T"]
netstat -ltunp

Linux中使用Dnsmasq部署DNS服务

是所有域名解析到同一地址

1

address=/#/192.168.2.1
1
2
3

address=/com/192.168.2.1
address=/net/192.168.2.1
address=/cn/192.168.2.1

libvirtd 服务会占用 53端口,需要限停用:

虚拟网卡virbr0

https://ywnz.com/linuxyffq/2267.html

Dnsmasq提供了DNS缓存、DHCP服务与Tftp服务功能。本文将用它在Linux中部署DNS服务,作为域名解析服务器(DNS),Dnsmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度。作为DHCP服务器,Dnsmasq可以为局域网电脑提供内网ip地址和路由。DNS和DHCP两个功能可以同时或分别单独实现。Dnsmasq轻量且易配置,适用于个人用户或少于50台主机的网络。此外它还自带了一个PXE服务器。

Dnsmasq工作原理

当接受到一个DNS请求时,Dnsmasq首先会查找/etc/hosts这个文件,然后查找/etc/resolv.conf中定义的外部DNS。所以说Dnsmasq是一个很不错的外部DNS中继。

配置Dnsmasq为DNS缓存服务器,同时在/etc/hosts文件中加入本地内网解析,这样一来每当内网机器查询时就会优先查询hosts文件,这就等于将/etc/hosts共享给全内网机器使用,从而解决内网机器互相识别的问题。相比逐台机器编辑hosts文件或者添加Bind DNS记录,仅编辑一个hosts文件,这简直太容易了。

安装Dnsmasq

1
2

$ apt-get install dnsmasq
$ yum install dnsmasq

配置Dnsmasq

Dnsmasq处理DNS设置与BIND等其他DNS服务有所不同。所有的配置都在一个文件中完成/etc/dnsmasq.conf。默认情况下dnsmasq.conf中只开启了最后include项,可以在/etc/dnsmasq.d中自己写任意名字的配置文件。

配置文件说明

Dnsmasq配置文件是/etc/dnsmasq.conf,下面对Dnsmasq中和DNS相关的配置项进行说明。

port=53

用指定的端口代替默认的DNS 53端口,如果设置为0,则完全禁止DNS功能,只使用dhcp服务

以下两个参数告诉Dnsmasq过滤一些查询:

domain-needed 从不转发格式错误的域名

bogus-priv 从不转发不在路由地址中的域名

resolv-file

配置Dnsmasq额外的向流的DNS服务器,如果不开启就使用linux主机默认的/etc/resolv.conf里的nameserver,通过下面的选项指定其他文件。

1

resolv-file=/etc/dnsmasq.d/upstream_dns.conf

strict-order

默认情况下Dnsmasq会发送查询到它的任何上游DNS服务器上,如果取消注释,则Dnsmasq则会严格按照/etc/resolv.conf中的DNS Server顺序进行查询。

上游服务器

以下两个参数控制是否通过/etc/resolv.conf确定上游服务器,是否检测/etc/resolv.conf的变化,则取消注释。

no-resolv 如果你不想Dnsmasq读取/etc/resolv.conf文件或者其他文件,获得它的servers

no-poll 如果你不允许Dnsmasq通过轮询/etc/resolv.conf或者其他文件来获取配置的改变,则取消注释。

增加一个name server,一般用于内网域名

1

server=/localnet/192.168.0.1

设置一个反向解析,所有192.168.3.0/24的地址都到10.1.2.3去解析

1

server=/3.168.192.in-addr.arpa/10.1.2.3

增加一个本地域名,会在/etc/hosts中进行查询

1

local=/localnet/

增加一个域名,强制解析到你指定的地址上

1

address=/double-click.net/127.0.0.1

同上,还支持ipv6

1

address=/www.thekelleys.org.uk/fe80::20d:60ff:fe36:f83

增加查询yahoo google和它们的子域名到vpn、search查找

1

ipset=/yahoo.com/google.com/vpn,search

你还可以控制Dnsmasq和Server之间的查询从哪个网卡出去

1

server=10.1.2.3@eth1

指定源地址携带10.1.2.3地址和192.168.1.1的55端口进行通讯

1

server=10.1.2.3@192.168.1.1#55

改变Dnsmasq默认的uid和gid

1
2

user=
group=

如果你想Dnsmasq监听某个端口为dhcp、dns提供服务

1

interface=

你还可以指定哪个端口你不想监听

1

except-interface=

设置想监听的地址,如果你本机要使用写上127.0.0.1。

1

listen-address=

如果你想在某个端口只提供dns服务,则可以进行配置禁止dhcp服务

1

no-dhcp-interface=

On systems which support it, dnsmasq binds the wildcard address, even when it is listening on only some interfaces. It then discards requests that it shouldn’t reply to. This has the advantage of working even when interfaces come and go and change address. If you want dnsmasq to really bind only the interfaces it is listening on, uncomment this option. About the only time you may need this is when running another nameserver on the same machine.

1

bind-interfaces

如果你不想使用/etc/hosts,则取消下面的注释

1

no-hosts

如果你项读取其他类似/etc/hosts文件,则进行配置

1

addn-hosts=/etc/banner_add_hosts

自动的给hosts中的name增加一个域名

1

expand-hosts

给dhcp服务赋予一个域名

1

domain=thekelleys.org.uk

给dhcp的一个子域赋予一个不同的域名

1

domain=wireless.thekelleys.org.uk,192.168.2.0/24

同上,不过子域是一个范围

1

domain=reserved.thekelleys.org.uk,192.68.3.100,192.168.3.200

dhcp分发ip的范围,以及每个ip的租约时间

1

dhcp-range=192.168.0.50,192.168.0.150,12h

同上,不过给出了掩码

1

dhcp-range=192.168.0.50,192.168.0.150,255.255.255.0,12h

自动加载conf-dir目录下的配置文件

1

conf-dir=/etc/dnsmasq.d

设置dns缓存大小,默认为150条

1

cache-size=150

配置实例

配置上游服务器地址

resolv-file配置Dnsmasq额外的上游的DNS服务器,如果不开启就使用Linux主机默认的/etc/resolv.conf里的nameserver。

1.通过下面的选项指定其他文件来管理上游的DNS服务器

1
2

$ vi /etc/dnsmasq.conf
resolv-file=/etc/resolv.dnsmasq.conf

2.在指定文件中增加转发DNS的地址

1
2
3

$ vi /etc/resolv.dnsmasq.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

本地启用Dnsmasq解析

1
2

$ vi /etc/resolv.conf
nameserver 127.0.0.1

添加解析记录

1.使用系统默认hosts

编辑hosts文件,简单列举一下格式

1
2
3
4
5

$ vi /etc/hosts

127.0.0.1  localhost
192.168.101.107   web01.mike.com web01
192.168.101.107   web02.mike.com web02

2.使用自定义hosts文件

修改配置,增加自定义hosts文件位置。

1
2

$ vi /etc/dnsmasq.conf
addn-hosts=/etc/dnsmasq.hosts

在/etc/dnsmasq.hosts文件中添加DNS记录

1
2
3

$ vi /etc/dnsmasq.hosts
192.168.101.107   web01.mike.comweb01
192.168.101.107   web02.mike.comweb02

3.使用自定义conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

$ vi /etc/dnsmasq.d/address.conf

# 指定dnsmasq默认查询的上游服务器,此处以Google Public DNS为例。
server=8.8.8.8
server=8.8.4.4

# 把所有.cn的域名全部通过114.114.114.114这台国内DNS服务器来解析
server=/cn/114.114.114.114

# 给*.apple.com和taobao.com使用专用的DNS
server=/taobao.com/223.5.5.5
server=/.apple.com/223.5.5.5

# 把ywnz.com的二级域名(比如前面加www)解析到特定的IP
address=/ywnz.com的二级域名(比如前面加www)/192.168.101.107

在这里ywnz.com相当于*.mike.com泛解析
address=/ywnz.com/192.168.101.107

注:也可以直接添加到/etc/dnsmasq.conf中,不过/etc/dnsmasq.d/*.conf的优先级大于/etc/dnsmasq.conf。

修改iptables配置

1.允许本机的53端口可对外访问

1
2

$ iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT
$ iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

2.转发DNS请求

1
2

$ echo '1' > /proc/sys/net/ipv4/ip_forward
$ echo '1' > /proc/sys/net/ipv6/ip_forward   # IPv6 用户选用

添加流量转发规则,将外部到53的端口的请求映射到Dnsmasq服务器的53端口

1
2

$ iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
$ iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53

如果要限制只允许内网的请求,方法如下

1

$ iptables -t nat -A PREROUTING -i eth1 -p upd --dport 53 -j REDIRECT --to-port 53

3.保存规则并重启

1
2

$ service iptables save
$ service iptables restart

测试Dnsmasq

1.启动Dnsmasq

1

$ service dnsmasq start

2.测试Dnsmasq

将其他机器的DNS换成dnsmasq所在的IP即可,就这么容易。

1

$ dig @192.168.101.104 ywnz.com

一些Dnsmasq技巧

Dnsmasq性能优化

我们都知道Bind不配合数据库的情况下,经常需要重新载入并读取配置文件,这是造成性能低下的原因。根据这点教训,我们可以考虑不读取/etc/hosts文件。而是另外指定一个在共享内存里的文件,比如/dev/shm/dnsrecord.txt ,这样就不费劲了,又由于内存的非持久性,重启就消失,可以定期同步硬盘上的某个内容到内存文件中。

具体实现步骤:

1.配置dnsmasq

1
2
3
4

$ vim /etc/dnsmasq.conf

no-hosts
addn-hosts=/dev/shm/dnsrecord.txt

2.解决同步问题

开机启动

1

$ echo "cat /etc/hosts > /dev/shm/dnsrecord.txt" >>/etc/rc.local

定时同步内容

1
2
3

$ crontab -e

*/10 * * * * cat /etc/hosts > /dev/shm/dnsrecord.txt

Dnsmasq选择最快的上游DNS服务器

经常会有这样的情景,Dnsmasq服务器配了一堆上游服务器,转发本地的dns请求,缺省是Dnsmasq事实上是只挑了一个上游dns服务器来查询并转发结果,这样如果选错服务器的话会导致DNS响应变慢。

1
2
3
4
5
6

$ vi /etc/dnsmasq.conf

all-servers

server=8.8.8.8
server=219.141.136.10

all-servers表示对以下设置的所有server发起查询,选择回应最快的一条作为查询结果返回。

上面我们设置了两个dns server,8.8.8.8(谷歌dns)和219.141.136.10(移动的dns),会同时查询这两个服务器,询问dns地址谁返回快就采用谁的结果。

关闭非业务端口

查看本机监听的端口

1
2
3
4
5
6
7

netstat -ltunp

l: listen
t: tcp
u: udp
n: --numeric 不解析名称
p: --programs
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

netstat -ltunp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1523/sshd
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1312/cupsd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1978/master
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1062/rpcbind
tcp        0      0 192.168.122.1:53        0.0.0.0:*               LISTEN      2008/dnsmasq
tcp6       0      0 :::22                   :::*                    LISTEN      1523/sshd
tcp6       0      0 ::1:631                 :::*                    LISTEN      1312/cupsd
tcp6       0      0 ::1:25                  :::*                    LISTEN      1978/master
tcp6       0      0 :::443                  :::*                    LISTEN      1999/httpd
tcp6       0      0 :::3306                 :::*                    LISTEN      1717/mariadbd
tcp6       0      0 :::111                  :::*                    LISTEN      1062/rpcbind
tcp6       0      0 :::80                   :::*                    LISTEN      1999/httpd
udp        0      0 0.0.0.0:54212           0.0.0.0:*                           1110/avahi-daemon:
udp        0      0 192.168.122.1:53        0.0.0.0:*                           2008/dnsmasq
udp        0      0 0.0.0.0:67              0.0.0.0:*                           2012/dnsmasq
udp        0      0 0.0.0.0:111             0.0.0.0:*                           1062/rpcbind
udp        0      0 127.0.0.1:323           0.0.0.0:*                           1079/chronyd
udp        0      0 0.0.0.0:806             0.0.0.0:*                           1062/rpcbind
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1110/avahi-daemon:
udp        0      0 0.0.0.0:44291           0.0.0.0:*                           53849/local
udp6       0      0 :::111                  :::*                                1062/rpcbind
udp6       0      0 ::1:323                 :::*                                1079/chronyd
udp6       0      0 :::806                  :::*                                1062/rpcbind

1. avahi-daemon

Avahi允许程序在不需要进行手动网络配置的情况 下,在一个本地网络中发布和获知各种服务和主机。例如,当某用户把他的计算机接入到某个局域网时,如果他的机器运行有Avahi服务,则Avahi程式自 动广播,从而发现网络中可用的打印机、共享文件和可相互聊天的其他用户。这有点象他正在接收局域网中的各种网络广告一样。

Linux下系统实际启动的进程名,是avahi-daemon

除非你有兼容的设备或使用 zeroconf 协议的服务,否则应该关闭它。

1
2
3

service avahi-daemon stop
service avahi-daemon.socket stop
chkconfig avahi-daemon off

2. port 631

目前的Linux发行版本基本上都使用cups作为Linux下管理打印的服务应用。CUPS软件为Unix/Linux用户提供了有效而可靠的方式来管理打印的方法。它生来就支持IPP,并有LPD、SMB和JetDirect接口。CUPS本身可以提供网络打印机功能,使用它可以非常方便的令Linux与Linux之间、Linux与Windows之间实现打印共享。

使用浏览器访问http://127.0.0.1:631/

1
2
3
4
5

service cups stop
service cups.socket stop
service cups.path stop

chkconfig cups off

3. port 25

SMTP 邮件相关

1
2
3
4

lsof -i tcp:25
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
master  1957 root   13u  IPv4  21979      0t0  TCP localhost:smtp (LISTEN)
master  1957 root   14u  IPv6  21980      0t0  TCP localhost:smtp (LISTEN)
1
2

systemctl list-unit-files | grep post
systemctl disable --now postfix.service

port 53 67

dnsmasq

Dnsmasq提供了DNS缓存、DHCP服务与Tftp服务功能。本文将用它在Linux中部署DNS服务,作为域名解析服务器(DNS),Dnsmasq可以通过缓存DNS请求来提高对访问过的网址的连接速度。作为DHCP服务器,Dnsmasq可以为局域网电脑提供内网ip地址和路由。DNS和DHCP两个功能可以同时或分别单独实现。Dnsmasq轻量且易配置,适用于个人用户或少于50台主机的网络。此外它还自带了一个PXE服务器。

port 323

Chrony是NTP(Network Time Protocol,网络时间协议,服务器时间同步的一种协议)的另一种实现,与ntpd不同,它可以更快且更准确地同步系统时钟,最大程度的减少时间和频率误差。

在CentOS6中,默认是使用ntpd来同步时间的,但ntpd同步时间并不理想,有可能需要数小时来同步时间。而且ntp也已经很老了。所以在Centos7中换成了chrony来实现时间同步。chrony并且兼容ntpd监听在udp123端口上,自己则监听在udp的323端口上。

port 111

NFS文件共享.NFS依靠远程过程调用(RPC)在客户端和服务器端路由请求。在Linux下RPC服务由portmap服务控制.

为了共享和加载NFS文件系统,下面的服务要一起工作:

1
2
3

* nfs - 启动相应RPC服务进程来服务对于NFS文件系统的请求.
* nfslock - 一个可选的服务,用于启动相应的RPC进程,允许NFS客户端在服务器上对文件加锁.
* portmap - Linux的RPC服务,它响应RPC服务的请求和与请求的RPC服务建立连接.

下面的RPC进程在后台一起工作服务于NFS服务:

1
2
3
4
5
6
7
8
9
10
11
12

* rpc.mountd - 这个进程接受来自NFS客户端的加载请求和验证请求的文件系统正在被输出.这个进程由NFS服务自动启动,不需要用户的配置.
* rpc.nfsd - 这个进程是NFS服务器.它和Linux核心一起工作来满足NFS客户端的动态需求,例如提供为每个NFS客户端的每次请求服务器线程.这个进程对应于nfs服务.
* rpc.lockd - 一个可选的进程,它允许NFS客户端在服务器上对文件加锁.这个进程对应于nfslock服务.
* rpc.statd - 这个进程实现了网络状态监控(NSM)RPC协议,通知NFS客户端什么时候一个NFS服务器非正常重启动.这个进程被nfslock服务自动启动,不需要用户的配置.
* rpc.rquotad - 这个进程对于远程用户提供用户配额信息. 这个进程被nfs服务自动启动,不需要用户的配置.

停用命令
service nfslock stop
chkconfig nfslock off

rpcbind服务停止命令
service portmap stop

https://blog.csdn.net/tjjingpan/article/details/81237308

http://www.linuxfly.org/post/72/

https://blog.51cto.com/holy2010/343888

http://www.manongjc.com/detail/23-crrktpmgggcujfu.html

http://www.wjhsh.net/pipci-p-12871993.html

https://www.cnblogs.com/archoncap/p/6179666.html

httpd常见配置

https://www.cnblogs.com/vathe/p/6907742.html

work常用配置

1
2
3
4
5
6
7
8

<IfModule worker.c>
StartServers         4
MaxClients         300     # 最大的请求并发数目
MinSpareThreads     25
MaxSpareThreads     75
ThreadsPerChild     25     # 每个子进程能同时创建的的线程数目
MaxRequestsPerChild  0     # 每个进程能处理的最大请求数目
</IfModule>

配置文件

1
2
3

/etc/httpd/conf/httpd.conf     主配置文件

/etc/httpd/conf.d/*.conf     辅助配置文件

配置文件语法检查及重新加载配置文件

1
2
3

[root@node1 conf]$ httpd -t
Syntax OK
[root@node1 conf]$ service httpd reload

修改监听的IP和Port

1
2
3
4
5
6

Listen  [IP:] PORT  [PROTOCOL]
IP     本机的IP,本机可能使用多个网卡,每个网卡可能使用多个IP,故而可以指定特定IP,不指定,默认为监听所有IP
PORT    端口号,不可省略
PROTOCOL  特定协议,例如 https

注:Listen指令在同一文件中,如果需要监听多个目标,Listen可以出现多次

服务器根目录

1
2
3
4
5
6
7
8
9

DocumentRoot "/var/www/html"

ServerName www.example.com:80   # 服务器名称

DirectoryIndex index.html  index.html.var # 站点主页面

AddDefaultCharset UTF-8     # 默认字符集

Alias /icons/ "/var/www/icons/"    # 路径别名

持久化配置

1
2
3
4
5

KeepAlive Off | On       # 是否开启长连接

MaxKeepAliveRequests 100  # 保持长连接最大个数

KeepAliveTimeout 15       #  单个连接最长连接时间

动态加载模块

1
2
3

LoadModule <mod_name> <mod_path>
<mod_name> 模块名称
<mod_path> 模块路径,支持使用相对路径,相对于ServerRoot  /etc/httpd

MPM(多路处理模块)配置

查看

1
2

httpd -l      # 查看静态模块
httpd -M      # 查看动态加载的模块

更换

1
2
3
4
5
6
7
8

CentOS 6
/etc/sysconfig/httpd
# HTTPD=/usr/sbin/httpd.worker    # 注释表示使用默认方式prefork工作,否则表示使用worker方式工作

CentOS7
/etc/httpd/conf.modules.d/00-mpm.conf
LoadModule mpm_worker_module modules/mod_mpm_worker.so
# 注释或打开相关代码

prefork常用配置

1
2
3
4
5
6
7
8

<IfModule prefork.c>
StartServers       8       #  起始开启的子进程数
MinSpareServers    5       #  最小空闲子进程数
MaxSpareServers   20       #  最大空闲子进程数
ServerLimit      256       #  最大的进程数
MaxClients       256       #  最大的请求并发数
MaxRequestsPerChild  4000  #  每个子进程最多能处理的请求数
</IfModule>

work常用配置

1
2
3
4
5
6
7
8

<IfModule worker.c>
StartServers         4
MaxClients         300     # 最大的请求并发数目
MinSpareThreads     25
MaxSpareThreads     75
ThreadsPerChild     25     # 每个子进程能同时创建的的线程数目
MaxRequestsPerChild  0     # 每个进程能处理的最大请求数目
</IfModule>

日志配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

ErrorLog logs/error_log     # 错误日志目录

LogLevel warn               # 日志记录等级

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined   # 日志格式定义

%h:客户端IP地址;
%l:Remote User, 通常为一个减号(“-”);
%u:Remote user (from auth; may be bogus if return status (%s) is 401);非为登录访问时,其为一个减号;
%t:服务器收到请求时的时间;
%r:First line of request,即表示请求报文的首行;记录了此次请求的“方法”,“URL”以及协议版本;
%>s:响应状态码;
%b:响应报文的大小,单位是字节;不包括响应报文的http首部;
%{Referer}i:请求报文中首部“referer”的值;即从哪个页面中的超链接跳转至当前页面的;
%{User-Agent}i:请求报文中首部“User-Agent”的值;即发出请求的应用程序;

站点访问控制可分为两类,基于文件路径控制和基于URL路径控制。

基于文件路径访问控制

1
2
3
4
5
6
7
8
9
10

<Directory "DocuRoot">
...
</Directory "DocuRoot">
<FILE "">
...
</FILE "">

<FileMatch "PATTERN">
...
</FileMatch "PATTERN">

基于URL路径访问控制

1
2
3
4
5
6
7

<Location "">
...
</Location "">

<LocationMatch "">
...
</LocationMatch "">

常见选项

1
2
3
4
5
6
7
8
9
10
11

Option
    Indexes     # 访问的url不存在时,返回父路径的索引列表
    Includes
    FollowSymLinks    # 允许跟踪链接文件所指向的文件
    SymLinksifOwnerMatch  # 仅允许跟踪链接文件属主
    ExecCGI               #  支持CGI脚本
    MultiViews
    All        所有选项,除了 MultiViews
    None    不支持上述选项

AllowOverride   no | yes  是否允许子目录重载特性

黑名单(白名单)

1
2
3
4
5
6
7

Order allow, deny

[ Allow | Deny ] from
    all
    example.org
    10.1.2.3
    10  172.20

基于用户的访问控制

用户认证类型

1
2

  基本认证:Basic,明文发送
  摘要认证:digest

虚拟用户:

仅用于访问某服务或获取某资源的凭证;

账号和密码的存储机制:

1
2
3
4

  文本文件:.htpasswd
  SQL数据库
  dbm:数据库引擎,提供API
  ldap:

配置

1
2
3
4
5
6
7
8
9
10
11

<Directory />
        Options none
        AllowOverride AuthConfig
        AuthType Basic     # 明文发送
        AuthName "admin area"   # 允许访问的用户
        AuthBasicProvider file
        AuthUserFile /etc/httpd/conf/.htpasswd
        Require valid-user     # 文件中所有用户均可访问
        Require group GROUP    # 指定组
        AuthGroupFile GROUP_FILE   # 指定组口令文件
</Directory>

生成认证文件.htpasswd

1
2
3
4
5
6

htpasswd [option] passwdfile username
    选项:
    -c:创建一个passwdfile,如果passwdfile已经存在,那么它会重新写入并删除原有内容
    -m:以md5的格式编码存储用户的密码信息
    -s:sha1加密用户密码;
    -D:删除指定用户