RHCE --- 第四节
本文摘要介绍了HTTPS协议和NFS服务器的配置与应用。HTTPS通过SSL/TLS加密解决了HTTP明文传输的安全问题,详细说明了SSL握手流程和证书管理。NFS部分阐述了网络文件系统的原理、配置方法及权限控制,包括服务端设置、客户端挂载和自动挂载服务autofs的实现。通过实验演示了HTTPS网站搭建、NFS共享目录创建及自动挂载配置,为构建安全的网络服务和高效的文件共享提供了实用指导。
第四章 Web服务器(2)
基于https协议的静态网站
概念解释
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext TransferProtocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道
HTTPS并不是一个新协议,而是HTTP+SSL(TLS)。原本HTTP先和TCP(假定传输层是TCP协议)直接通信,而加了SSL后,就变成HTTP先和SSL通信,再由SSL和TCP通信,相当于SSL被嵌在了HTTP和TCP之间
SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)
SSL协议分为两层:
SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能
SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等
SSL协议提供的服务:
认证用户和服务器,确保数据发送到正确的客户机和服务器
加密数据以防止数据中途被窃取
维护数据的完整性,确保数据在传输过程中不被改变
HTTPS安全通信机制
分为三个阶段:
认证服务器:浏览器内置一个受信任的CA机构列表,并保存了这些CA机构的证书。第一阶段服务器会提供经CA机构认证颁发的服务器证书,如果认证该服务器证书的CA机构,存在于浏览器的受信任CA机构列表中,并且服务器证书中的信息与当前正在访问的网站(域名等)一致,那么浏览器就认为服务端是可信的,并从服务器证书中取得服务器公钥,用于后续流程。否则,浏览器将提示用户,根据用户的选择,决定是否继续。当然,我们可以管理这个受信任CA机构列表,添加我们想要信任的CA机构,或者移除我们不信任的CA机构。
协商会话密钥:客户端在认证完服务器,获得服务器的公钥之后,利用该公钥与服务器进行加密通信,协商出两个会话密钥,分别是用于加密客户端往服务端发送数据的客户端会话密钥,用于加密服务端往客户端发送数据的服务端会话密钥。在已有服务器公钥,可以加密通讯的前提下,还要协商两个对称密钥的原因,是因为非对称加密相对复杂度更高,在数据传输过程中,使用对称加密,可以节省计算资源。另外,会话密钥是随机生成,每次协商都会有不一样的结果,所以安全性也比较高。
加密通讯:此时客户端服务器双方都有了本次通讯的会话密钥,之后传输的所有Http数据,都通过会话密钥加密。这样网路上的其它用户,将很难窃取和篡改客户端和服务端之间传输的数据,从而保证了数据的私密性和完整性
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境
PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA管理协议;CA政策制定
X.509通用的证书格式包含三个文件:key,csr,crt。
key是私钥文件
csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名
crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息
使用nginx的http_ssl模块建立加密认证网站
查看
[root@master ~]# nginx -V
# 看是否有--with-http_ssl_module模块,否则需要安装mod_ssl配置文件:
证书文件:/……/xxxx.crt
私钥文件:/……/xxxx.key
ssl配置文件的主要参数
[root@master ~]# vim /etc/nginx/nginx.conf # 主配置文件https段,默认为注释,可以取消注释
# Settings for a TLS enabled server.
#
# server {
# listen 443 ssl http2;
# listen [::]:443 ssl http2;
# server_name _;
# root /usr/share/nginx/html;
#
# ssl_certificate "/etc/pki/nginx/server.crt";
# ssl_certificate_key "/etc/pki/nginx/private/server.key";
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 10m;
# ssl_ciphers PROFILE=SYSTEM;
# ssl_prefer_server_ciphers on;
#
# # Load configuration files for the default server block.
# include /etc/nginx/default.d/*.conf;
#
# error_page 404 /404.html;
# location = /40x.html {
# }实验1
搭建nginx+ssl的加密认证web服务器
第一步:准备工作
# 恢复快照
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
[root@master ~]# systemctl disable firewalld
[root@master ~]# yum install nginx mod_ssl -y
[root@master ~]# systemctl start nginx # 启动
[root@master ~]# systemctl enable nginx # 设置开机启动第二步:新建存储网站数据文件的目录
[root@master ~]# mkdir -p /www
# 使用xftp将windows的zy网站数据文件上传到/www目录中第三步:制作证书
# 在/etc/ngixn目录下制作证书所用的私钥文件zy.key
[root@master ~]# openssl genrsa -aes128 2048 > /etc/nginx/zy.key
Generating RSA private key, 2048 bit long modulus (2 primes)
.....................................................................................................................+++++
...............................+++++
e is 65537 (0x010001)
Enter pass phrase: # 输入加密私钥的密码123456
Verifying - Enter pass phrase: # 再输一遍
# 制作证书
[root@master ~]# openssl req -utf8 -new -key /etc/nginx/zy.key -x509 -days 365 -out /etc/nginx/zy.crt
Enter pass phrase for /etc/nginx/zy.key: # 需要输入加密私钥的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
# 注意:下列证书信息项目,在面试时常问
Country Name (2 letter code) [AU]:86 # 国家代码
State or Province Name (full name) [Some-State]:shanxi # 省份
Locality Name (eg, city) []:xian # 城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:openlab # 公司
Organizational Unit Name (eg, section) []:RHCE # 部门
Common Name (e.g. server FQDN or YOUR name) []:server # 主机名
Email Address []:andy@qq.com # 邮箱
# 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令
[root@master ~]# cd /etc/nginx
[root@master nginx]# cp zy.key zy.key.org
[root@master nginx]# openssl rsa -in zy.key.org -out zy.key
Enter pass phrase for zy.key.org: # 输入加密私钥的密码
writing RSA key
第五步:修改配置文件
[root@master nginx]# cd
[root@master ~]# vim /etc/nginx/nginx.conf
server {
listen 443 ssl http2;
server_name 192.168.182.148;
root /www/zy;
ssl_certificate "/etc/nginx/zy.crt";
ssl_certificate_key "/etc/nginx/zy.key";
server {
listen 80;
server_name 192.168.182.148;
return 301 https://192.168.182.148;
}
第六步:重启服务
[root@master ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@master ~]# systemctl start nginx第七步:测试
# 在windows端打开浏览器,输入https://192.168.182.148,点击高级->接受风险并继续实验2
组建多个子目录网站www.openlab.com,该网站有2个子目录www.openlab.com/file和www.openlab.com/ftp,要求:
file数据使用http读取
ftp数据使用https读取
第一步:准备工作
# 恢复快照
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
[root@master ~]# systemctl disable firewalld
[root@master ~]# yum install nginx -y
[root@master ~]# systemctl start nginx # 启动nginx
[root@master ~]# systemctl enable nginx # 设置开机启动第二步:新建网页目录并建立网页
[root@master ~]# mkdir -p /www/file
[root@master ~]# mkdir -p /www/ftp
[root@master ~]# echo "file" > /www/file/index.html # 写入网站数据
[root@master ~]# echo "ftp" > /www/ftp/index.html第三步:建立本地hosts域名映射
[root@master ~]# vim /etc/hosts # 添加如下内容
192.168.182.147 www.openlab.com
第四步:建立file网站
[root@master ~]# vim /etc/nginx/nginx.conf
server {
listen 80;
server_name www.openlab.com;
location /file {
alias /www/file/;
index index.html index.html;
}
}第五步:建立https的ftp网站
# 制作私钥
[root@master ~]# openssl genrsa -aes128 2048 > /etc/nginx/ftp.key
Generating RSA private key, 2048 bit long modulus (2 primes)
.................+++++
...............................................................................................+++++
e is 65537 (0x010001)
Enter pass phrase: # 输入加密私钥的密码123456
Verifying - Enter pass phrase: # 再输一遍
# 制作证书
[root@master ~]# openssl req -utf8 -new -key /etc/nginx/ftp.key -x509 -days 365 -out /etc/nginx/ftp.crt
Enter pass phrase for /etc/nginx/ftp.key: # 需要输入加密私钥的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:86 # 国家代码
State or Province Name (full name) [Some-State]:shanxi # 省份
Locality Name (eg, city) []:xian # 城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:openlab # 公司
Organizational Unit Name (eg, section) []:RHCE # 部门
Common Name (e.g. server FQDN or YOUR name) []:server # 主机名
Email Address []:andy@qq.com # 邮箱
# 再加载SSL支持的Nginx并使用上述私钥时除去必须的口令
[root@master ~]# cd /etc/nginx
[root@master nginx]# cp ftp.key ftp.key.org
[root@master nginx]# openssl rsa -in ftp.key.org -out ftp.key
Enter pass phrase for ftp.key.org: # 输入加密私钥的密码
writing RSA key
[root@master ~]# vim /etc/nginx/nginx.conf # 编辑配置文件
server {
listen 443 ssl http2;
server_name _;
location /ftp {
alias /www/ftp/;
index index.hmtl index.htm;
}
ssl_certificate "/etc/nginx/ftp.crt";
ssl_certificate_key "/etc/nginx/ftp.key";
}第六步:重启服务
[root@master ~]# systemctl restart nginx第七步:测试
# 输入www.openlab.com/file/
# 输入https://www.openlab.com/ftp/,点击高级->接受风险并继续项目:使用LNMP搭建私有云存储
准备工作
恢复快照,关闭安全软件
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
搭建LNMP环境
[root@master ~]# yum install nginx mod_ssl -y
上传软件
使用xftp将nextcloud-25.0.1.zip软件压缩包上传到Linux的根目录,并解压缩
[root@server ~]# cd /
[root@server /]# unzip /nextcloud-25.0.1.zip 设置nextcloud安装命令权限
[root@master ~]# chmod -Rf 777 /nextcloud
设置数据库
[root@master ~]# systemctl start mariadb # 启动数据库
[root@master ~]# mysql
# 数据库设置
MariaDB [(none)]> create database nextcloud; # 创建数据库
MariaDB [(none)]> create user 'nextcloud'@'localhost' identified by '123456'; # 创建用户和密码
MariaDB [(none)]> grant all on nextcloud.* to 'nextcloud'@'localhost'; # 设置权限
MariaDB [(none)]> exit # 退出重启数据库
[root@master ~]# systemctl restart mariadb
配置nginx
[root@master ~]# vim /etc/nginx/nginx.conf
server {
listen 80;
listen [::]:80;
server_name 192.168.182.147;
root /nextcloud;
} 重启nginx服务
[root@master ~]# systemctl start nginx
安装
打开浏览器后输入服务器IP地址,进入nextcloud安装向导
管理员的用户名即密码自定
存储与数据库:选择MySQL/MariaDB,设置数据库用户为nextcloud,密码:123456,数据库名:nextcloud,主机名:localhost
内网穿透
cpolar的域名信任
[root@server ~]# vim /nextcloud/config/config.php
# 按照下面的内容对源文件进行修改
<?php
$CONFIG = array (
'instanceid' => 'ocvy7jm0iqom',
'passwordsalt' => 'jLg0GXwJtlj8vowMsLpN5MbBSRsoiC',
'secret' => 'ayTVaC6dsHrSKgXazVP6llFMWdNVxjF582v5pAPKuyEecdTU',
'trusted_domains' =>
array (
0 => '192.168.48.130',
1 => '2dc0afad.r17.cpolar.top', # 需添加
),
'datadirectory' => '/nextcloud/data',
'dbtype' => 'mysql',
'version' => '25.0.1.1',
'overwrite.cli.url' => 'http://192.168.48.130',
'dbname' => 'nextcloud',
'dbhost' => 'localhost',
'dbport' => '',
'dbtableprefix' => 'oc_',
'mysql.utf8mb4' => true,
'dbuser' => 'nextcloud',
'dbpassword' => '123456',
'installed' => true,
);
# 保存退出后重试
第五章 NFS服务器 Linux-Linux
简介
NFS背景介绍
NFS是一种古老的用于在UNIX/Linux主机之间进行文件共享的协议。它古老到你必须穿着白大褂才能接近一台计算机的年代。在那个年代,所有的联网计算机都被认为是可信的,而不像现今这样,任何人都有多种多样方法能连接到你的计算机。因此,NFS在开发的时候专注于快速及易用的文件共享,而忽视了其安全性设计
NFS(Network File System,网络文件系统)是FreeBSD支持的文件系统中的一种,它允许网络中的计算机(不同的计算机、不同的操作系统)之间通过TCP/IP网络共享资源,主要在unix系列操作系统上使用
NFS服务器可以让PC将网络中的NFS服务器共享的目录挂载到本地端的文件系统中,而在本地端的系统中看来,那个远程主机的目录就好像是自己的一个磁盘分区一样
由于NFS支持的功能比较多,而不同的功能都会使用不同的程序来启动,每启动一个功能就会启用一些端口来传输数据,因此NFS的功能所对应的端口并不固定,而是随机取用一些未被使用的小于1024的端口用于传输。但如此一来就会产生客户端连接服务器的问题,因为客户端需要知道服务器端的相关端口才能够连接,此时就需要RPC
RPC(Remote Procedure Call,远程过程调用):由于服务器在启动NFS时会随机选取数个端口号,并主动向RPC注册,所以RPC知道每个NFS功能所对应的端口号,RPC将端口号通知给客户端,让客户端可以连接到正确的端口上去。RPC采用固定端口号port 111来监听客户端的需求并向客户端响应正确的端口号
注:在启动NFS之前,要先启动RPC,否则NFS会无法向RPC注册。另外,RPC若重新启动,原来注册的数据会消失不见,因此RPC重启后,它管理的所有服务都需要重新启动以重新向RPC注册
生产应用场景
NFS网络文件系统很像windows系统的网络共享、安全功能、网络驱动器映射,这也和linux系统里的Samba服务器类似。只不过一般情况下,windows网络共享服务或Samba服务用于办公局域网共享,而互联网中小型网站集群架构后端常用NFS进行数据共享,如果是大型网站,那可能会用到更复杂的分布式文件系统
在企业集群架构的工作场景中,NFS作为所有前端web服务的共享存储,存储的内容一般包括网站用户上传的图片、附件、头像等,注意,网站的程序代码就不要放在NFS共享里了,因为网站程序是开发运维人员统一发布,不存在发布延迟问题,直接批量发布到web节点提供访问比共享到NFS里访问效率会更高些
NFS是当前互联网系统架构中常用的数据存储服务之一,中小型网站(2000万pv(页面浏览量)以下)公示应用频率居高,大公司或门户除了使用NFS外,还可能会使用更为复杂的分布式文件系
NFS工作原理
流程
首先服务器端启动RPC服务,并开启111端口
服务器端启动NFS服务,并向RPC注册端口信息
客户端启动RPC(portmap服务),向服务端的RPC(portmap)服务请求服务端的NFS端口
服务端的RPC(portmap)服务反馈NFS端口信息给客户端。(服务器搭建成功后可以使用下列命令查看,一般都是2049)
[root@master ~]# cat /etc/services |grep nfs # 查看NFS服务使用的端口号NFS的使用
安装
[root@master ~]# yum install nfs-utils -y
[root@master ~]# yum install rpcbind -y
配置文件
主配置文件:/etc/exports , 文件不一定存在
/usr/sbin/exportfs : 该文件是维护NFS共享目录资源的命令文件,可以使用命令重新共享/etc/exports的目录资源、卸载共享目录
日志目录:/var/lib/nfs
权限设置文件:/var/lib/nfs/etab
主配置文件分析
/etc/exports 文件默认为空文件,需要输入nfs共享命令
格式:共享目录的路径 ==允许访问的NFS客户端==(共享权限参数)
分析
允许访问的NFS客户端:可以写完整的IP地址或IP网段,如:
192.168.48.131/24
192.168.48.131/255.255.255.0
192.168.48.0/24
*: 允许所有主机都可以访问
权限参数:必须写在园括号中,且括号是紧挨着主机名的,全选的相关参数如下,多个参数之间使用逗号隔开:
| 权限参数 | 作用 |
|---|---|
| ro | 只读 |
| rw | 读写(最终还要看文件系统rwx权限) |
| root_squash | 当NFS客户端以root账户访问时,映射为NFS服务器端的匿名账户(nobody) |
| no_root_squash | 当NFS客户端以root账户访问时,映射为root账户(不推荐、不安全) |
| all_squash | 无论NFS客户端使用什么账户访问,均映射为NFS 服务器的匿名账户(nobody),==推荐== |
| no_all_squash | 客户端普通账户访问服务器的数据时,实际的信息原样显示 |
| anonuid= anongid= | 将文件的用户和工作组映射为指定UID和GID,若不指定则默认为65534(nobody) |
| sync | 同步,同时将数据写入内存与硬盘中,保证数据不会丢失,==推荐== |
| async | 异步,优先将数据保存到内存,然后在写入硬盘,效率高,但可能会数据丢失 |
示例
/home/public *(rw,sync,all_squash) 意义:服务器共享/home/public目录中的数据,所有人都可访问,可读可写,同步传输,账户映射为匿名账户
/home/public 192.168.48.131/24(ro,root_squash,sync) 意义:服务器共享/home/public目录中的数据,只允许192.168.48.131主机访问,方式为只读,客户端root账户映射为服务端的nobody,同步读写
/home/public 192.168.48.0/24(rw,all_squash,anonuid=2000,anongid=2000) 意义:服务器共享/home/public目录中的数据,允许192.168.48.0网段所有主机访问,方式为可读可写,账户映射为nobody,uid为2000,gid为2000
实验1
建立NFS服务器,使的客户端顺序共享数据
第一步:服务端及客户端的准备工作
# 恢复快照
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
[root@master ~]# yum install nfs-utils -y # 服务端及客户端都安装
第二步:服务端建立共享文件目录,并设置权限
[root@master ~]# mkdir /nfsfile
[root@master ~]# echo "welcome to www.openlab.com" > /nfsfile/readme
[root@master ~]# chmod -Rf 777 /nfsfile
第三步:服务端编辑配置文件
[root@master ~]# vim /etc/exports # 添加以下内容
/nfsfile 192.168.182.147/24(rw,sync,all_squash)第四步:服务端先启动rpc服务,在启动nfs服务
[root@master ~]# systemctl start rpcbind
[root@master ~]# systemctl start nfs-server
[root@master ~]# systemctl enable rpcbind
[root@master ~]# systemctl enable nfs-server
Created symlink /etc/systemd/system/multi-user.target.wants/nfs-server.service → /usr/lib/systemd/system/nfs-server.service.# 注意:若systemctl start rpcbind后报错,显示启动失败,应先停止服务,再重启服务
[root@master ~]# systemctl stop rpcbind
[root@master ~]# systemctl start rpcbind
第五步:客户端使用本地挂载方式访问远程共享目录
先查询有哪些远程共享目录可用
[root@master ~]# showmount -e 192.168.182.147 # 别忘了安装nfs-utils
# -e 表示显示服务器共享信息列表新建本地挂载目录
[root@master ~]# mkdir /nfs1 # 新建本地挂载目录
# 使用mount远程挂载命令挂载服务器的目录到客户端本地目录,-t nfs 表示使用的文件系列类型
[root@master ~]# mount -t nfs 192.168.182.147:/nfsfile /nfs1
[root@master ~]# cd /nfs1 # 通过本地目录访问远程共享数据
[root@master nfs1]# ls
readme
[root@master nfs1]# cat readme
welcome to www.openlab.com
[root@master nfs1]# cd第六步:客户端使用开机挂载实现永久挂载
[root@master ~]# vim /etc/fstab # 编辑开机挂载配置文件,最后一行添加如下内容
192.168.182.147:/nfsfile /nfs1 nfs defaults,_netdev 0 0
[root@master ~]# mount -a # 测试
[root@master ~]# df -h # 查看挂载信息
文件系统 容量 已用 可用 已用% 挂载点
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 714M 0 714M 0% /dev/shm
tmpfs 286M 7.8M 278M 3% /run
tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup
/dev/mapper/openeuler-root 27G 2.3G 23G 10% /
tmpfs 714M 0 714M 0% /tmp
/dev/sda1 974M 145M 762M 16% /boot
192.168.182.147:/nfsfile 27G 2.3G 23G 10% /nfs1NFS账户映射
实验2:
基于上例,将/nfsfile权限修改后,查看客户端是否可以访问成功,是否可以修改数据
[root@master ~]# cat /etc/exports # 确认是否为rw可读可写的权限
[root@master ~]# cd /nfsfile
[root@master nfsfile]# ll # 查看原有权限
总用量 4
-rwxrwxrwx 1 root root 27 5月 17 18:27 readme
[root@master nfsfile]# cd
[root@master ~]# chmod -Rf 444 /nfsfile # 设置新权限,没有wx
[root@master ~]# ll -d /nfsfile/
dr--r--r-- 2 root root 4096 5月 17 18:27 /nfsfile/
[root@master ~]# ll /nfsfile
总用量 4
-r--r--r-- 1 root root 27 5月 17 18:27 readme
# 定位客户端
[root@master ~]# cd /nfs1
-bash: cd: /nfs1: Permission denied
# 显示无权限,即使服务端exports中有rw权限最后还是以文件系统权限为准
实验3
客户端访问服务端,默认使用服务端的账户映射为nobody,uid与gid均为65534,其值可以修改
# 定位服务端
[root@master ~]# chmod -Rf 777 /nfsfile # 先将上例的权限修改回原样
[root@master ~]# ll -d /nfsfile/
drwxrwxrwx 2 root root 4096 5月 17 18:27 /nfsfile/
[root@master ~]# vim /etc/exports # 修改映射方式
/nfsfile 192.168.182.148/24(rw,sync,all_squash)
[root@master ~]# systemctl restart rpcbind
[root@master ~]# systemctl restart nfs-server
# 定位客户端
[root@master ~]# cd /nfs1
[root@master nfs1]# touch test2.txt
[root@master nfs1]# ll
总用量 4
-rwxrwxrwx 1 root root 27 5月 17 18:27 readme
-rw-r--r-- 1 nobody nobody 0 5月 17 18:56 test2.txt # root映射为nobody
[root@master nfs1]# su fox
[fox@master nfs1]$ touch test3.txt
[fox@master nfs1]$ ll
总用量 4
-rwxrwxrwx 1 root root 27 5月 17 18:27 readme
-rw-r--r-- 1 nobody nobody 0 5月 17 18:56 test2.txt
-rw-rw-r-- 1 fox fox 0 5月 17 18:57 test3.txt # fox映射为fox
[fox@master nfs1]$ su root
密码:
# 定位服务端
[root@master ~]# vim /etc/exports
/nfsfile 192.168.182.148/24(rw,sync,all_squash,anonuid=2000,anongid=2000)
[root@master ~]# systemctl restart rpcbind
[root@master ~]# systemctl restart nfs-server
# 定位客户端
[root@master nfs1]# touch test5.txt
[root@master nfs1]# ll
总用量 4
-rwxrwxrwx 1 root root 27 5月 17 18:27 readme
-rw-r--r-- 1 nobody nobody 0 5月 17 18:56 test2.txt
-rw-rw-r-- 1 nobody nobody 0 5月 17 18:57 test3.txt
-rw-rw-r-- 1 fox fox 0 5月 17 19:03 test4.txt
-rw-r--r-- 1 2000 2000 0 5月 17 19:08 test5.txt # 自定义uid及fid
[root@master nfs1]# cd
autofs自动挂载服务
产生原因
在一般NFS文件系统的使用过程中,如果客户端要使用服务端所提供的文件系统,可以在 /etc/fstab中设置开机时自动挂载,也可以在登录系统后手动利用mount来挂载。
由于网络的问题,NFS服务器与客户端的连接不会一直存在,当我们挂载了NFS服务器之后,任何一方脱机都可能造成另外一方等待超时,如果在资源挂载后长期不使用,也会造成服务器硬件资源的浪费。
为了解决这样的问题,就出现了下面的想法
当客户端在有使用NFS文件系统的需求时才让系统自动挂载
当NFS文件系统使用完毕后(autofs默认自动卸载时间为300s即5分钟),让NFS自动卸载
autofs 自动挂载服务可以帮我们解决这一问题,该服务是运行在客户端的一种 Linux 系统守护进程,在用户需要使用该文件系统时才去动态挂载,从而节约了网络资源和服务器的硬件资源
安装
[root@master ~]# yum install autofs -y # 客户端安装
配置文件分析
配置文件路径:/etc/auto.master
作用:处于生产环境中的 Linux 服务器,一般会同时管理许多设备的挂载操作。如果把这些设备挂载信息都写入到 autofs 服务的主配置文件中,无疑会让主配置文件臃肿不堪,不利于服务执行效率,也不利于日后修改里面的配置内容,则需要将挂载的设备独立配置形成子文件,主配置文件只存储配置挂载设置的文件名
/etc/auto.master文件内容格式:挂载父目录 子配置文件
挂载目录:不需要事先存在,因为autofs会主动建立该目录
子配置文件:文件名可自定义
例:/nfs /etc/auto.nfs
/nfs : 监控这个父目录
/etc/auto.nfs:单独的挂载规则文件
注意:可以在后边增加--timeout=60参数,即闲置 60 秒自动卸载
子配置文件由自己创建,内容格式:
本地挂载子目录 [-挂载参数] 服务器地址:目录
例:testmnt 192.168.48.130:/data
testmnt: 会在 /nfs 下自动生成该目录,最终的路径为: /nfs/testmnt 目录
实验4
服务器端创建共享目录,客户端实现自动挂载
第一步:服务端及客户端都恢复快照,关闭安全软件,安装软件
# 恢复快照
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
[root@master ~]# yum install nfs-utils -y # 服务端及客户端都安装
[root@master ~]# yum install nfs-utils autofs -y # 客户端安装
第二步:定位服务端,编辑nfs配置文件,新建共享目录,并设置权限
[root@master ~]# mkdir /data
[root@master ~]# vim /etc/exports
/data *(rw,sync,all_squash)
[root@master ~]# chmod -Rf 777 /data
[root@master ~]# echo "this is test" > /data/file.txt
[root@master ~]# ls /data
file.txt第三步:定位服务端,启动服务,必须先启动rpcbind服务
[root@master ~]# systemctl start rpcbind
[root@master ~]# systemctl start nfs-server
[root@master ~]# systemctl enable rpcbind
[root@master ~]# systemctl enable nfs-server
Created symlink /etc/systemd/system/multi-user.target.wants/nfs-server.service → /usr/lib/systemd/system/nfs-server.service.第四步:定位客户端,编辑自动挂载配置文件
# 设计自动挂载本地目录:/nfs/testmnt
[root@master ~]# vim /etc/auto.master
/nfs /etc/auto.nfs
# /nfs为本地挂载路径的父目录,可以不会创建,autofs会自动创建,auto.nfs为子配置文件,名称自定义
# 查看共享信息
[root@master ~]# showmount -e 192.168.182.147
Export list for 192.168.182.147:
/data *
# 编辑自动挂载的子配置文件
[root@master ~]# vim /etc/auto.nfs # 书写本地挂载目录的子目录及远程共享目录
testmnt 192.168.182.147:/data
第五步:定位客户端,启动服务
root@master ~]# systemctl start autofs
[root@master ~]# systemctl enable autofs
Created symlink /etc/systemd/system/multi-user.target.wants/autofs.service → /usr/lib/systemd/system/autofs.service.第六步:定位客户端,测试
[root@master ~]# df -h # 查看挂载信息
文件系统 容量 已用 可用 已用% 挂载点
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 714M 0 714M 0% /dev/shm
tmpfs 286M 7.8M 278M 3% /run
tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup
/dev/mapper/openeuler-root 27G 2.3G 23G 10% /
tmpfs 714M 0 714M 0% /tmp
/dev/sda1 974M 145M 762M 16% /boot
[root@master ~]# cd /nfs # 进入本地挂载目录,会自动创建
[root@master nfs]# ls
[root@master nfs]# cd testmnt # 进入本地挂载目录的下级目录,会触发自动挂载
[root@master testmnt]# ls
file.txt
[root@master testmnt]# df -h
文件系统 容量 已用 可用 已用% 挂载点
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 714M 0 714M 0% /dev/shm
tmpfs 286M 7.9M 278M 3% /run
tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup
/dev/mapper/openeuler-root 27G 2.3G 23G 10% /
tmpfs 714M 0 714M 0% /tmp
/dev/sda1 974M 145M 762M 16% /boot
192.168.182.147:/data 27G 2.3G 23G 10% /nfs/testmnt实验5
本地自动挂载光盘
第一步:定位服务端恢复快照,关闭安全软件,安装软件
# 恢复快照
[root@master ~]# setenforce 0
[root@master ~]# systemctl stop firewalld
[root@master ~]# yum install autofs -y # 客户端安装第二步:修改autofs主配置文件
# 设计本地自动挂载目录路径:/media/cdrom
# 定位第7行,输入本地挂载路径的父目录和子配置文件
[root@master ~]# vim /etc/auto.master
/media /etc/iso.aa第三步:编写autofs子配置文件
[root@master ~]# vim /etc/iso.aa
cdrom -fstype=iso9660,ro,nosuid,nodev :/dev/sr0 # 冒号前有空格
# 注意cdrom为挂载路径/media/cdrom的子目录
# -ftype:为文件系统格式
# iso9660:为光盘设备格式
# ro:以只读模式挂载文件系统
# nodev:不解析文件系统上的块特殊设备
# nosuid:禁止suid操作和设定sgid位(SUID 是 Set User ID, SGID 是 Set Group ID 的意思)第四步:启动服务
[root@master ~]# systemctl start autofs
[root@master ~]# systemctl enable autofs
Created symlink /etc/systemd/system/multi-user.target.wants/autofs.service → /usr/lib/systemd/system/autofs.service.第五步:测试
[root@master ~]# df -h
文件系统 容量 已用 可用 已用% 挂载点
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 714M 0 714M 0% /dev/shm
tmpfs 286M 7.8M 278M 3% /run
tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup
/dev/mapper/openeuler-root 27G 2.3G 23G 10% /
tmpfs 714M 0 714M 0% /tmp
/dev/sda1 974M 145M 762M 16% /boot
[root@master ~]# cd /media/
[root@master media]# cd cdrom # 触发自动挂载
[root@master cdrom]# ls
docs EFI images isolinux ks Packages repodata RPM-GPG-KEY-openEuler TRANS.TBL
[root@master cdrom]# df -h
文件系统 容量 已用 可用 已用% 挂载点
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 714M 0 714M 0% /dev/shm
tmpfs 286M 7.8M 278M 3% /run
tmpfs 4.0M 0 4.0M 0% /sys/fs/cgroup
/dev/mapper/openeuler-root 27G 2.3G 23G 10% /
tmpfs 714M 0 714M 0% /tmp
/dev/sda1 974M 145M 762M 16% /boot
/dev/sr0 3.8G 3.8G 0 100% /media/cdrom # 已经自动挂载
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
2
0- 0
已为社区贡献2条内容
所有评论(0)