لینوکس سیزن - تایماز اسمعلی

اکتبر 26, 2014اکتبر 27, 2014

بررسي firewalld

firewalld يك ديواره آتش پويا مي باشد كه از قابليت zone بندي براي مشخص كردن سطح اعتماد(Trust) ارتباطات و كارت هاي شبكه پشتيباني مي كند اين ديواره آتش از آي پي نسخه 4 و 6 پشتيباني كرده و شامل گزينه هايي پيكربندي runtime و permanent مي باشد از جمله مزيت هاي اين ديواره آتش نسبت به نسل هاي قبلي ديواره هاي آتش كه به صورت static بود اين است كه بعد از تغييرات پيكربندي ديواره آتش نياز به راه اندازي مجدد آن نمي باشد و مي توان با بارگذاري دوباره پيكربندي تغييرات را اعمال كرد. در اين نوشته ديواره آتش firewalld را به صورت مختصر مورد بررسي قرار خواهيم داد.

منظور از zone چيست؟

يك zone در واقع سطح اعتماد(Trust) يك ارتباط شبكه اي(كارت شبكه) را مشخص مي كند اين ارتباط بين يك zone و كارت شبكه مي تواند چند به يك باشد يعني يك كارت شبكه مي تواند در يك zone قرار بگيرد ولي يك zone مي تواند در چندين كارت شبكه مورد استفاده قرار بگيرد firewalld شامل چنيدين zone پيش فرض با يكسري پيكربندي هاي خاص به شكل زير مي باشند.

block dmz drop external home internal public trusted work

1	block dmz drop external home internal public trusted work

فعال كردن سرويس firewalld:

[root@mcentos ~]# systemctl enable firewalld

1	[root@mcentos ~]# systemctl enable firewalld

غیرفعال كردن سرويس firewalld:

[root@mcentos ~]# systemctl disable firewalld

1	[root@mcentos ~]# systemctl disable firewalld

شروع به كار سرويس firewalld:

[root@mcentos ~]# systemctl start firewalld

1	[root@mcentos ~]# systemctl start firewalld

متوقف كردن سرويس firewalld:

[root@mcentos ~]# systemctl stop firewalld

1	[root@mcentos ~]# systemctl stop firewalld

نمايش وضيعت سرويس firewalld:

[root@mcentos ~]# systemctl status firewalld

1	[root@mcentos ~]# systemctl status firewalld

براي كار با firewalld بايد از دستور firewall-cmd استفاده كنيد براي شروع كار با اين دستور از ساده ترين شكل آن شروع مي كنيم و كار را با گزينه هاي پيچيده تر با مثال ادامه مي دهيم.

براي نمايش وضيعت firewalld از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --state

running

[root@mcentos ~]# firewall-cmd --state

running

براي نمايش نسخه firewalld از دستور زير استفاده كنيد.

[root@mcentos ~]# rpm -qf $(which firewall-cmd)

firewalld-0.3.9-7.el7.noarch

[root@mcentos ~]# rpm -qf $(which firewall-cmd)

firewalld-0.3.9-7.el7.noarch

براي بارگذاري مجدد پيكربندي از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --reload

success

[root@mcentos ~]# firewall-cmd --reload

success

براي برگشت به حالت اوليه و ناديده گرفتن كليه پيكربندي ها از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --complete-reload

success

[root@mcentos ~]# firewall-cmd --complete-reload

success

براي نمايش كليه zone ها از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work

[root@mcentos ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work

براي نمايش كليه سرويس ها از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

[root@mcentos ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

منظور از سرويس چيست؟

يك سرويس به زبان ساده در واقع مجموعه اي از پورت ها و ماژول هاي مربوط به firewalld مي باشد همان طور كه در كد بالا مي بينيد يكسري سرويس به صورت پيش فرض تعريف شده اند با فعال كردن هر سرويس پيكربندي هاي مربوط به آن سرويس و ماژول هاي آن سرويس بارگذاري مي شوند.

براي نمايش انواع icmptype ها از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-icmptypes

destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

[root@mcentos ~]# firewall-cmd --get-icmptypes

destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

منظور از icmptype چيست؟

پروتكل icmp به منظور رد و بدل كردن اطلاعات و پيغام هاي خطا در پروتكل IP مورد استفاده قرار مي گيرد در firewalld با توجه به انواع icmptype كه پشتيباني مي كند امكان محدود كردن اين پيغام وجود دارد.

براي نمايش همه ي zone ها با پيكربندي هاي آنها از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --list-all-zones

block

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

dmz

interfaces:

sources:

services: ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

drop

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

external

interfaces:

sources:

services: ssh

ports:

masquerade: yes

forward-ports:

icmp-blocks:

rich rules:

 

home

interfaces:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

internal

interfaces:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

public (default, active)

interfaces: ens32

sources:

services: dhcpv6-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

trusted

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

 

work

interfaces:

sources:

services: dhcpv6-client ipp-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

[root@mcentos ~]# firewall-cmd --list-all-zones

block

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

dmz

interfaces:

sources:

services: ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

drop

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

external

interfaces:

sources:

services: ssh

ports:

masquerade: yes

forward-ports:

icmp-blocks:

rich rules:

home

interfaces:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

internal

interfaces:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

public (default, active)

interfaces: ens32

sources:

services: dhcpv6-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

trusted

interfaces:

sources:

services:

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

work

interfaces:

sources:

services: dhcpv6-client ipp-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

براي نمايش پيكربندي هاي يك zone خاص از دستور زير استفاده كنيد.(در اين مثال zone انتخابي ما work مي باشد در صورت مشخص نكردن آن zone پيش فرض در نظر گرفته مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --list-all

work

interfaces:

sources:

services: dhcpv6-client ipp-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

[root@mcentos ~]# firewall-cmd --zone=work --list-all

work

interfaces:

sources:

services: dhcpv6-client ipp-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

براي نمايش zone پيش فرض از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-default-zone

public

[root@mcentos ~]# firewall-cmd --get-default-zone

public

منظور از zone پيش فرض چيست؟

zone پيش فرض زماني كه براي يك كارت شبكه هيچ zone تعريف نشده باشد به آن كارت شبكه اختصاص داده مي شود يعني اگر براي يك كارت شبكه هيچ zone تعريف نشده باشد عضو zone پيش فرض مي شود در دستور firewall-cmd هر جا كه گزينه –zone نياز باشد و مقدار آن مشخص نشود zone پيش فرض به عنوان مقدار آن در نظر گرفته مي شود.

براي تنظيم zone پيش فرض از دستور زير استفاده كنيد.(در اين مثال zone انتخابي ما work مي باشد)

[root@mcentos ~]# firewall-cmd --set-default-zone=work

success

[root@mcentos ~]# firewall-cmd --set-default-zone=work

success

براي نمايش zone هاي فعال از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-active-zones

public

interfaces: ens32

[root@mcentos ~]# firewall-cmd --get-active-zones

public

interfaces: ens32

منظور از zone فعال چيست؟

هر zone كه حداقل يك كارت شبكه عضو آن باشد به عنوان zone فعال در نظر گرفته مي شود.

براي نمايش zone مربوط به يك كارت شبكه خاص از دستور زير استفاده كنيد.(در اين مثال كارت شبكه ما ens32 مي باشد)

[root@mcentos ~]# firewall-cmd --get-zone-of-interface=ens32

public

[root@mcentos ~]# firewall-cmd --get-zone-of-interface=ens32

public

براي اضافه كردن يك كارت شبكه خاص يه يك zone خاص از دستور زير استفاده كنيد.(در اين مثال كارت شبكه ens34 به work اضافه مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --add-interface=ens34

success

[root@mcentos ~]# firewall-cmd --zone=work --add-interface=ens34

success

براي تغيير zone يك كارت شبكه از دستور زير استفاده كنيد. (در اين مثال zone كارت شبكه ens34 به public تغيير داده مي شود)

براي حذف يك كارت شبكه از يك zone از دستور زير استفاده كنيد.(در اين مثال كارت شبكه ens34 از zone، work حذف مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --remove-interface=ens34

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-interface=ens34

success

براي بررسي اينكه يك كارت شبكه در يك zone خاص مي باشد از دستور زير استفاده كنيد.(در اين مثال كارت شبكه ens32 و zone، public)

[root@mcentos ~]# firewall-cmd --zone=public --query-interface=ens32

yes

[root@mcentos ~]# firewall-cmd --zone=public --query-interface=ens32

yes

براي نمايش سرويس هاي فعال در يك zone از دستور زير استفاده كنيد.(در اين مثال zone ما public مي باشد)

[root@mcentos ~]# firewall-cmd --zone=public --list-services

dhcpv6-client ssh

[root@mcentos ~]# firewall-cmd --zone=public --list-services

dhcpv6-client ssh

براي فعال كردن حالت panic از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --panic-on

success

[root@mcentos ~]# firewall-cmd --panic-on

success

منظور از حالت panic چيست؟

حالت panic حالتي مي باشد كه در آن كليه ي ترافيك شبكه بلاك مي شود.

براي غيرفعال كردن حالت panic از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --panic-off

success

[root@mcentos ~]# firewall-cmd --panic-off

success

براي نمايش وضيعت panic از دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --query-panic

no

[root@mcentos ~]# firewall-cmd --query-panic

منظوز از حالت runtime و permanent چيست؟

هر تغييري كه در يك zone صورت مي گيرد يا در حالت runtime است يا در حالت permanent اگر در حالت runtime باشد اين تغييرات بعد از اجرا دستور reload و يا بارگذاري مجدد سرويس firewalld و يا راه اندازي مجدد سيستم از بين مي روند ولي تغييراتي كه در حالت permanent صورت مي گيرند در فايل config ثبت مي شوند و به صورت دايمي هستند و با اجراي دستور reload و يا بارگذاري مجدد سرويس firewalld و يا راه اندازي مجدد سيستم از بين نمي روند توجه داشته باشيد كه گزينه runtime به صورت پيش فرض مي باشد.

براي فعال كردن يك سرويس در يك zone از دستور زير استفاده كنيد.(در اين مثال سرويس http در zone، work فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --add-service=http –timeout=600

success

[root@mcentos ~]# firewall-cmd --zone=work --add-service=http –timeout=600

success

گزينه timeout:

گزينه timeout در واقع مدت زمان فعال بودن سرويس را مشخص مي كند توجه داشته باشيد كه چون در اين دستور از گزينه –permanent استفاده نشده است فعال بودن سرويس http در zone، work به صورت موقت مي باشد و با اجراي دستور reload و يا بارگذاري مجدد سرويس firewalld و يا راه اندازي مجدد سيستم از بين مي روند.

براي غير فعال كردن يك سرويس در يك zone از دستور زير استفاده كنيد.(در اين مثال سرويس http در zone، work غير فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --remove-service=http

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-service=http

success

براي نمايش وضيعت فعال بودن يك سرويس در يك zone از دستور زير استفاده كنيد .(در اين مثال سرويس http در zone، work مورد بررسي واقع شده است)

[root@mcentos ~]# firewall-cmd --zone=work --query-service=http

no

[root@mcentos ~]# firewall-cmd --zone=work --query-service=http

براي فعال كردن پورت و پروتكل از دستور زير استفاده كنيد.(در اين مثال پورت 80 از نوع tcp در zone، work فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --add-port=80/tcp

success

[root@mcentos ~]# firewall-cmd --zone=work --add-port=80/tcp

success

توجه داشته باشيد كه هم مي توانيد يك پورت را مشخص كنيد هم مي توانيد محدوده پورت را به صورت startport-endport مشخص كنيد مقدار مربوط به پروتكل هم مي تواند tcp يا udp باشد

براي غير فعال كردن پورت و پروتكل از دستور زير استفاده كنيد.(در اين مثال پورت 80 از نوع tcp در zone، work غيرفعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --remove-port=80/tcp

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-port=80/tcp

success

براي نمايش وضيعت فعال بودن پورت و پروتكل در يك zone از دستور زير استفاده كنيد.(در اين مثال پورت 80 از نوع tcp در zone، work مورد بررسي واقع شده است)

[root@mcentos ~]# firewall-cmd --zone=work --query-port=80/tcp

yes

[root@mcentos ~]# firewall-cmd --zone=work --query-port=80/tcp

yes

براي فعال كردن قابليت masquerading از دستور زير استفاده كنيد.(در اين مثال اين قابليت براي zone، work فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --add-masquerade

success

[root@mcentos ~]# firewall-cmd --zone=work --add-masquerade

success

منظور از masquerading چيست؟

masquerading نوع خاصي از NAT مي باشد كه در آن سيستم هاي كه در طرف خارجي NAT قرار گرفته اند به هيچ عنوان نمي توانند آي پي مربوط به يك سيستم داخلي را به دست بياورند در واقع در اين نوع NAT آي پي سيستم هاي داخلي در سمت خارجي NAT پنهان مي شود.

توجه داشته باشيد كه قابليت masquerading در firewalld فقط براي آي پي نسخه 4 قابل فعال سازي مي شود و masquerading نسخه 6 آي پي در اين ديواره آتش پشتيباني نمي شود.

براي غيرفعال كردن قابليت masquerading از دستور زير استفاده كنيد.(در اين مثال اين قابليت براي zone، work غير فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --remove-masquerade

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-masquerade

success

براي بررسي وضيعت فعال بودن قابليت masquerading از دستور زير استفاده كنيد.(در اين مثال اين قابليت براي zone، work مورد بررسي واقع شده است)

[root@mcentos ~]# firewall-cmd --zone=work --query-masquerade

no

[root@mcentos ~]# firewall-cmd --zone=work --query-masquerade

براي فعال كردن icmptype در يك zone ازدستور زير استفاده كنيد.(در اين مثال icmptype از نوع echo-reply براي zone، work فعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply

success

[root@mcentos ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply

success

همان طور كه در بخش هاي قبلي بيان شد براي به دست آوردن انواع icmptype ها مي توانيد ار دستور زير استفاده كنيد.

[root@mcentos ~]# firewall-cmd --get-icmptypes

destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

[root@mcentos ~]# firewall-cmd --get-icmptypes

destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

براي غير فعال كردن icmptype در يك zone ازدستور زير استفاده كنيد.(در اين مثال icmptype از نوع echo-reply براي zone، work غيرفعال شده است)

[root@mcentos ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply

success

براي بررسي وضيعت فعال بودن icmptype از دستور زير استفاده كنيد. (در اين مثال icmptype از نوع echo-reply براي zone، work مورد بررسي واقع شده است)

[root@mcentos ~]# firewall-cmd --zone=work --query-icmp-block=echo-reply

no

[root@mcentos ~]# firewall-cmd --zone=work --query-icmp-block=echo-reply

براي فعال كردن قابليت port forwarding از دستور زير استفاده كنيد.(در اين مثال پورت 80 به پورت 88 در zone،word ارسال (forward) مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88

success

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88

success

مقدار مربوط به port هم مي تواند يك پورت و يا محدوده پورت به صورت startport-endport مشخص شود.

مقدار مربوط به proto كه مشخص كننده پروتكل مي باشد مي تواند tcp يا udp باشد.

در قسمت to مي توانيد به سه نوع زير مقدار وارد كنيد.

1-toport: در اين نوع forwarding به يك پورت انجام مي شود كه مي تواند تواند يك پورت و يا محدوده پورت به صورت startport-endport مشخص شود به مثال زير توجه كنيد.

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88

success

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88

success

در اين مثال پورت 80 از نوع tcp به پورت 88 forward شده است.

2-toaddr: در اين نوع forwarding به يك آدرس صورت مي گيرد به مثال زير توجه كنيد.

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toaddr=192.168.20.18

success

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toaddr=192.168.20.18

success

در اين مثال پورت 80 از نوع tcp به آدرس 192.168.20.18 forward شده است

3-toport:toaddr: در اين نوع forwarding به يك پورت يا محدوده محدوده پورت براي يك سرور ديگر صورت مي گيرد به مثال زير توجه كنيد.

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88:toaddr=192.168.20.18

success

[root@mcentos ~]# firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=88:toaddr=192.168.20.18

success

در اين مثال پورت 80 از نوع tcp به پورت 88 آدرس 192.168.20.18 forward شده است.

براي غير فعال كردن قابليت port forwarding از دستور زير استفاده كنيد.(در اين مثال forwarding پورت 80 به پورت 88 در zone،word غير فعال مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --remove-forward-port=port=80:proto=tcp:toport=88

success

[root@mcentos ~]# firewall-cmd --zone=work --remove-forward-port=port=80:proto=tcp:toport=88

success

براي بررسي فعال بودن قابليت port forwarding از دستور زير استفاده كنيد.(در اين مثال forwarding پورت 80 به پورت 88 در zone،word مورد بررسي واقع مي شود)

[root@mcentos ~]# firewall-cmd --zone=work --query-forward-port=port=80:proto=tcp:toport=88

no

[root@mcentos ~]# firewall-cmd --zone=work --query-forward-port=port=80:proto=tcp:toport=88

گزينه permanent:

تا اين جاي كار تمامي پيكربندي هايي كه انجام شد از نوع runtime بود پيكربندي هاي از اين نوع به صورت آني اعمال مي شود با اجراي گزينه reload– يا بارگذاري مجدد سرويس firewalld و يا راه اندازي مجدد سرور از بين مي روند در مقابل پيكربندي هايي كه از نوع permanent هستند در فايل پيكربندي ذخيره مي شوند و براي اعمال آنها حتما بايد گزينه –reload اجرا و يا سرويس firewalld راه اندازي مجدد شود تمامي پيكربندي هايي كه در بخش هاي قبلي انجام شد با اضافه كردن گزينه –permanent مي تواند از نوع permanent باشد بعد از انجام يك پيكربندي از نوع permanent حتما بايد گزينه –reload اجرا شده و يا سرويس firewalld راه اندازي مجدد شود به مثال زير توجه كنيد.

[root@mcentos ~]# firewall-cmd --zone=work --add-port=443/tcp --permanent

success

[root@mcentos ~]# firewall-cmd --zone=work --add-port=443/tcp --permanent

success

با اجراي دستور بالا پورت 443 از نوع tcp به zone، work اضافه مي شود ولي چون از نوع permanent است تا اجراي دستور زير يا راه اندازي مجدد firewalld اعمال نمي شود.

[root@mcentos ~]# firewall-cmd --reload

success

[root@mcentos ~]# firewall-cmd --reload

success

اکتبر 25, 2014اکتبر 25, 2014

نصب و راه اندازي DNS

DNS سرنام Domain Name System سرويسي است كه وظيفه ترجمه نام يا آدرس اينترنتي را به آي پي دارد براي مثال هنگامي كه شما آدرس google.com را در مرورگر خود مورد پيمايش قرار مي دهيد اين آدرس به آدرس آي پي 173.194.45.36 توسط سرور DNS ترجمه مي شود براي نصب سرويس DNS دستور زير را اجرا كنيد.

[root@dns ~]# yum install bind bind-utils

1	[root@dns ~]# yum install bind bind-utils

توجه داشته باشيد كه در اين نوشته اسم دامين ما domain.com اسم DNS سرور ما dns.domain.com و آدرس آي پي سرور 192.168.20.20 مي باشد.

پس از نصب سرويس dns فايل پيكربندي آن در مسير /etc/named.comf ايجاد مي شود اين فايل شامل يكسري پيكربندي هاي اين سرويس مي باشد و بايد بعد از نصب تنظيم شود در اين نوشته بخش هاي مهم كه بايد تغيير داده شود مورد بررسي قرار مي دهيم.

//

// named.conf

//

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS

// server as a caching only nameserver (as a localhost DNS resolver only).

//

// See /usr/share/doc/bind*/sample/ for example named configuration files.

//

 

options {

listen-on port 53 { 127.0.0.1; 192.168.20.20};

listen-on-v6 port 53 { ::1; };

directory     "/var/named";

dump-file     "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { localhost; 192.168.20.0/24};

 

/*

- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.

- If you are building a RECURSIVE (caching) DNS server, you need to enable

recursion.

- If your recursive DNS server has a public IP address, you MUST enable access

control to limit queries to your legitimate users. Failing to do so will

cause your server to become part of large scale DNS amplification

attacks. Implementing BCP38 within your network would greatly

reduce such attack surface

*/

recursion yes;

 

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

 

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

 

managed-keys-directory "/var/named/dynamic";

 

pid-file "/run/named/named.pid";

session-keyfile "/run/named/session.key";

};

 

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

};

 

zone "." IN {

type hint;

file "named.ca";

};

 

zone "domain.com" IN{

type master;

file "forward.domain";

allow-update{none;};

};

 

zone "20.168.192.in-addr.arpa" IN{

type master;

file "reverse.domain";

allow-update{none;};

};

 

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

// named.conf

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS

// server as a caching only nameserver (as a localhost DNS resolver only).

// See /usr/share/doc/bind*/sample/ for example named configuration files.

options {

listen-on port 53 { 127.0.0.1; 192.168.20.20};

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { localhost; 192.168.20.0/24};

- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.

- If you are building a RECURSIVE (caching) DNS server, you need to enable

recursion.

- If your recursive DNS server has a public IP address, you MUST enable access

control to limit queries to your legitimate users. Failing to do so will

cause your server to become part of large scale DNS amplification

attacks. Implementing BCP38 within your network would greatly

reduce such attack surface

recursion yes;

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";

session-keyfile "/run/named/session.key";

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

zone "." IN {

type hint;

file "named.ca";

};

zone "domain.com" IN{

type master;

file "forward.domain";

allow-update{none;};

};

zone "20.168.192.in-addr.arpa" IN{

type master;

file "reverse.domain";

allow-update{none;};

};

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

1-آدرس آي پي سرور DNS: مقدار 192.168.20.20

listen-on port 53 { 127.0.0.1; 192.168.20.20};

1	listen-on port 53 { 127.0.0.1; 192.168.20.20};

2-دايركتوري حاوي فايل هاي سرويس DNS: مقدار /var/named

directory     "/var/named";

1	directory "/var/named";

3-آدرس شبكه اي كه اجازه پرس و جو كردن از اين سرور را داراست: مقدار 192.168.20.0/24

allow-query     { localhost; 192.168.20.0/24};

1	allow-query { localhost; 192.168.20.0/24};

4-Zone مربوط به ترجمه آدرس(نام) به آي پي: Forward Zone

zone "domain.com" IN{

type master;

file "forward.domain";

allow-update{none;};

};

zone "domain.com" IN{

type master;

file "forward.domain";

allow-update{none;};

};

domain.com: نام دامنه

forward.domain: نام فايل مربوط به Zone كه در مسير /var/named بايد ايجاد شود.

5- Zone مربوط به ترجمه آي پي به آدرس(نام): Reverse Zone

zone "20.168.192.in-addr.arpa" IN{

type master;

file "reverse.domain";

allow-update{none;};

};

zone "20.168.192.in-addr.arpa" IN{

type master;

file "reverse.domain";

allow-update{none;};

};

20.168.192: آدرس شبكه

reverse.domain: نام فايل مربوط به Zone كه در مسير /var/named بايد ايجاد شود.

بعد از پيكربندي فايل named.conf بايد فايل هاي مربوط به Forward Zone و Reverse Zone را در مسير مشخص شده ايجاد كنيد ابتدا فايل مربوط به Forward Zone و سپس Reverse Zone را ايجاد و محتويات آنها را به طور خلاصه مورد بررسي قرار مي دهيم.

Forward Zone:

فايل مربوط به اين Zone را با بايدبا توجه به مقاديري كه در فايل named.conf وارد كرديد ايجاد كنيد ما در اين نوشته نام forward.domain را در دايركتوري /var/named مشخص كرديم اين فايل را ايجاد كرده و محتويات آن را به شكل زير وارد كنيد.

$TTL 86400

@      IN SOA dns.domain.com. root.domain.com(

2011071001    ;Serial

3600   ;Refresh

1800   ;Retry

604800 ;Expire

94800  ;Minimum TTL

)

 

@      IN NS  dns.domain.com.

@      IN A   192.168.20.20

@      IN A   192.168.20.21

@      IN A   192.168.20.22

dns    IN     A      192.168.20.20

fs     IN     A      192.168.20.21

dhcp   IN     A      192.168.20.22

$TTL 86400

@ IN SOA dns.domain.com. root.domain.com(

2011071001 ;Serial

3600 ;Refresh

1800 ;Retry

604800 ;Expire

94800 ;Minimum TTL

)

@ IN NS dns.domain.com.

@ IN A 192.168.20.20

@ IN A 192.168.20.21

@ IN A 192.168.20.22

dns IN A 192.168.20.20

fs IN A 192.168.20.21

dhcp IN A 192.168.20.22

1-نام سرور DNS: مقدار dns.domain.com

@      IN SOA dns.domain.com. root.domain.com

@      IN NS  dns.domain.com.

@ IN SOA dns.domain.com. root.domain.com

@ IN NS dns.domain.com.

2-ركورد: نحوه ايجاد ركورد(آي پي:192.168.20.20، آدرس dns)

@      IN A   192.168.20.20

dns    IN     A      192.168.20.20

@ IN A 192.168.20.20

dns IN A 192.168.20.20

Reverse Zone:

فايل مربوط به اين Zone را با بايدبا توجه به مقاديري كه در فايل named.conf وارد كرديد ايجاد كنيد ما در اين نوشته نام reverse.domain را در دايركتوري /var/named مشخص كرديم اين فايل را ايجاد كرده و محتويات آن را به شكل زير وارد كنيد.

$TTL 86400

@      IN SOA dns.domain.com. root.domain.com(

2011071001    ;Serial

3600   ;Refresh

1800   ;Retry

604800 ;Expire

94800  ;Minimum TTL

)

 

@      IN NS  dns.domain.com.

@      IN     PTR    domain.com.

dns    IN A   192.168.20.20

fs     IN A   192.168.20.21

dhcp   IN A   192.168.20.22

20     IN     PTR    dns.domain.com.

21     IN     PTR    fs.domain.com.

22     IN     PTR    dhcp.domain.com.

$TTL 86400

@ IN SOA dns.domain.com. root.domain.com(

2011071001 ;Serial

3600 ;Refresh

1800 ;Retry

604800 ;Expire

94800 ;Minimum TTL

)

@ IN NS dns.domain.com.

@ IN PTR domain.com.

dns IN A 192.168.20.20

fs IN A 192.168.20.21

dhcp IN A 192.168.20.22

20 IN PTR dns.domain.com.

21 IN PTR fs.domain.com.

22 IN PTR dhcp.domain.com.

1-نام سرور DNS: مقدار dns.domain.com

@      IN SOA dns.domain.com. root.domain.com

@      IN NS  dns.domain.com.

@ IN SOA dns.domain.com. root.domain.com

@ IN NS dns.domain.com.

2-نام دامنه: مقدار domain.com

@      IN     PTR    domain.com.

1	@ IN PTR domain.com.

3-ركورد: نحوه ايجاد ركورد(آي پي: 20 و 192.168.20.20، آدرس dns و dns.domain.com)

dns    IN A   192.168.20.20

20     IN     PTR    dns.domain.com.

dns IN A 192.168.20.20

20 IN PTR dns.domain.com.

بعد از ايجاد فايل ها براي اجراي سرويس DNS دستور زير را اجرا كنيد.

[root@dns ~]# systemctl start named

1	[root@dns ~]# systemctl start named

براي اينكه سرويس DNS به هنگام راه اندازي مجدد به صورت خودكار اجرا شود دستور زير را اجرا كنيد.

[root@dns ~]# systemctl enable named

1	[root@dns ~]# systemctl enable named

براي اينكه مطمين شويد فايل هاي پيكربندي مربوط به سرويس DNS يه درستي مقدار دهي شده است دستورات زير را به ترتيب اجرا كنيد تا در صورت وجود مشكل براي شما نمايش داده شود.

[root@dns ~]# named-checkconf /etc/named.conf

[root@dns ~]# named-checkzone domain.com /var/named/forward.domain

zone domain.com/IN: loaded serial 2011071001

OK

[root@dns ~]# named-checkzone domain.com /var/named/reverse.domain

zone domain.com/IN: loaded serial 2011071001

OK

[root@dns ~]# named-checkconf /etc/named.conf

[root@dns ~]# named-checkzone domain.com /var/named/forward.domain

zone domain.com/IN: loaded serial 2011071001

[root@dns ~]# named-checkzone domain.com /var/named/reverse.domain

zone domain.com/IN: loaded serial 2011071001

بعد از پيكربندي كامل سرويس DNS و اجراي آن نياز است تا پورت 53 در فايروال باز شود براي اين منظور دستورات زير را به ترتيب اجرا كنيد.

[root@dns ~]# firewall-cmd --zone=public --add-port=53/tcp --permanent

success

[root@dns ~]# firewall-cmd --zone=public --add-port=53/udp --permanent

success

[root@dns ~]# firewall-cmd --reload

success

[root@dns ~]# firewall-cmd --zone=public --add-port=53/tcp --permanent

success

[root@dns ~]# firewall-cmd --zone=public --add-port=53/udp --permanent

success

[root@dns ~]# firewall-cmd --reload

success

براي پرس و جو از سرور DNS و بررسي صحت كاركرد آن مي توانيد از دستور nslookup به شكل زير استفاده كنيد.

[root@cl011 ~]# nslookup dhcp.domain.com

Server:         127.0.0.1

Address:        127.0.0.1#53

 

Name:   dhcp.domain.com

Address: 192.168.20.22

[root@cl011 ~]# nslookup dhcp.domain.com

Server: 127.0.0.1

Address: 127.0.0.1#53

Name: dhcp.domain.com

Address: 192.168.20.22

همان طور كه در كد بالا مي بينيد آي پي 192.168.20.22 كه مربوط به dhcp.domain.com مي باشد توسط سرور DNS ترجمه شده است.

اکتبر 24, 2014

نصب و راه اندازي LAMP

LAMP سرنام Linux، Apache، Mysql و PHP مي باشد اين چهار نرم افزار بيشتر مواقع در كنار هم نصب و پيكربندي مي شوند تا پذيراي صفحات پوياي وب باشند در اين نوشته روش نصب و راه اندازي اوليه آن را مورد بررسي قرار خواهيم داد در اين نوشته فرض بر اين است كه نسخه 7 سيستم عامل CentOS از قبل به عنوان اولين نرم افزار اين پشته نصب شده است.

Apache:

براي نصب اين نرم افزار دستور زير را اجرا كنيد.

[root@mcentos ~]# yum install httpd

1	[root@mcentos ~]# yum install httpd

بعد از نصب براي اجراي اين نرم افزار از دستور زير استفاده كنيد.

[root@mcentos ~]# systemctl start httpd

1	[root@mcentos ~]# systemctl start httpd

براي اجرا اين نرم افزار به هنگام راه اندازي مجدد از دستور زير استفاده كنيد.

[root@mcentos ~]# systemctl enable httpd

1	[root@mcentos ~]# systemctl enable httpd

براي اينكه مطمين شويد Apche به درستي نصب و اجرا شده است مرورگر خود را باز كنيد و آدرس آي پي سرور مورد نظر را در پيمايش كنيد اگر صفحه زير را مشاهده كرديد يعني وب سرور شما به درستي نصب و اجرا شده است.

Mysql(mariadb):

براي نصب mysql از دستور زير استفاده كنيد.

[root@mcentos ~]# yum install mariadb-server mariadb

1	[root@mcentos ~]# yum install mariadb-server mariadb

بعد از نصب با اجرا دستور زير سرويس مربوط به اين نرم افزار را اجرا كنيد.

[root@mcentos ~]# systemctl start mariadb

1	[root@mcentos ~]# systemctl start mariadb

براي اجرا اين نرم افزار به هنگام راه اندازي مجدد از دستور زير استفاده كنيد.

[root@mcentos ~]# systemctl enable mariadb

1	[root@mcentos ~]# systemctl enable mariadb

براي پيكربندي اوليه mysql از دستور زير استفاده كنيد.

[root@mcentos ~]# mysql_secure_installation

1	[root@mcentos ~]# mysql_secure_installation

با اجرا دستور بالا رمز عبور root از شما درخواست مي شود كه با فشردن كليد enter وارد مرحله بعدي شويد بعد از آن درخواست تغيير رمز عبور مي شود علاوه بر آن سوالات ديگري پرسيده مي شود كه با جواب دادن به آنها پيكربندي اوليه را ادامه دهيد.

PHP:

براي نصب PHP از دستور زير استفاده كنيد.

[root@mcentos ~]# yum install php php-mysql

1	[root@mcentos ~]# yum install php php-mysql

بعد از نصب با اجرا دستور زير سرويس apache را راه اندازي مجدد بكنيد.

[root@mcentos ~]# systemctl restart httpd

1	[root@mcentos ~]# systemctl restart httpd

بررسي درست اجرا شدن دستورات PHP بر روي وب سرور:

براي بررسي درست اجرا شدن دستورات PHP فايلي به نام info.php در مسير /var/www/html با محتويات زير ايجاد كنيد.

<?php phpinfo(); ?>

1	<?php phpinfo(); ?>

سپس از طريق مرورگر با پيمايش آدرس http://192.168.20.12/info.php آن را اجرا كنيد(به جاري 192.168.20.12 آدرس آي پي سرور خود را وارد كنيد) در صورت مشاهده تصوير پايين اطمينان خاطر كنيد كه PHP به درستي نصب شده و دستورات آن قابل اجرا شدن مي باشند.

توجه داشته باشيد كه اگر فايروال بر روي سرور فعال باشد با اجراي دستورات زير ترافيك مربوط به پروتكل http و https را فعال كنيد.

[root@mcentos ~]# firewall-cmd --zone=public --add-service=http

success

[root@mcentos ~]# firewall-cmd --zone=public --add-service=https

success

[root@mcentos ~]# firewall-cmd --reload

success

[root@mcentos ~]# firewall-cmd --zone=public --add-service=http

success

[root@mcentos ~]# firewall-cmd --zone=public --add-service=https

success

[root@mcentos ~]# firewall-cmd --reload

success

اکتبر 20, 2014اکتبر 22, 2014

نصب و پيكربندي DHCP

DHCP سرنام Dynamic Host Configuration Protocol مي باشد با استفاده از اين سرويس مي توان اطلاعات مربوط به شبكه كلاينت ها از جمله تنظيمات آي پي، دروازه و … را به صورت خودكار تنظيم كرد.

براي نصب اين سرويس از دستور زير استفاده كنيد.

[root@dhcp ~]# yum install dhcp

1	[root@dhcp ~]# yum install dhcp

بعد از نصب براي اينكه سرويس dhcp به صورت خودكار به هنگام راه اندازي مجدد اجرا شود از دستور زير استفاده كنيد.

[root@dhcp ~]# systemctl enable dhcpd

1	[root@dhcp ~]# systemctl enable dhcpd

اگر سرور مورد نظر داراي چندين كارت شبكه مي باشيد براي اينكه مشخص كنيد سرويس dhcp به درخواست هاي كدام شبكه پاسخ دهد بايد فايل /etc/sysconfig/dhcpd را مورد ويرايش قرار داده و مقدار پارامتر DHCPARGS را برابر نام كارت شبكه مورد نظر قرار دهيد.

البته اين فايل در نسخه 7 سيستم عامل CentOS مورد استفاده قرار نمي گيريد و به صورت پيش فرض سرويس DHCP به كارت شبكه هايي پاسخ مي دهد كه در محدوده آدرس هاي پيكربندي شده در فايل پيكربندي DHCP قرار گرفته باشند.

بعد از نصب DHCP بايد تنظيمات مربوط به آن را پيكربندي كنيد براي اين كار بايد فايل /etc/dhcp/dhcpd.conf را مرود ويرايش قرار داده و مقادير مربوط به پارامتر هاي زير را تنظيم كنيد.

1-نام دامنه: نام دامنه كه در اين مثال domain.com است با استفاده از گزينه domain-name به شكل زير مشخص مي شود.

option domain-name "domain.com";

1	option domain-name "domain.com";

2-سرور DNS: آدرس DNS سرور توسط گزينه domain-name-servers به شكل زير مشخص مي شود.

option domain-name-servers 192.168.20.254;

1	option domain-name-servers 192.168.20.254;

3-سرور Wins: سرور Wins توسط گزينه netbios-name-servers به شكل زير مشخص مي شود.

option netbios-name-servers 192.168.20.254;

1	option netbios-name-servers 192.168.20.254;

4-به روز رساني خودكار DNS: براي به روز رساني خودكار سرور DNS با ركورد هاي تخصيص داده شده توسط DHCP موارد زير را در فايل پيكربندي قرار دهيد.

ddns-updates on;

ddns-update-style interim;

update-static-leases on;

ddns-updates on;

ddns-update-style interim;

update-static-leases on;

5-زمان Lease: منظور از زمان Lease مدت زماني مي باشد كه يك سيستم آي پي تخصيص داده شده توسط DHCP را مي تواند داشته باشد براي مشخص كردن اين زمان و همچنين بيشترين مقدار زمان Lease از پارامتر هاي زير استفاده كنيد.

default-lease-time 600;

max-lease-time 7200;

default-lease-time 600;

max-lease-time 7200;

6-معتبر شناختن DHCP: براي اينكه سرويس DHCP توسط سرويس هاي دايركتوري نظير Microsoft Active Directory معتبر شناخته شود از پارامتر زير استفاده كنيد.

authoritative;

1	authoritative;

7- محدوده آدرس: براي مشخص كردن محدوده آدرس دهي از پارامتر هاي زير استفاده كنيد.

subnet 192.168.20.0 netmask 255.255.255.0{

range dynamic-bootp 192.168.20.50 192.168.20.100;

option broadcast-address 192.168.20.255;

option routers 192.168.20.254;

}

subnet 192.168.20.0 netmask 255.255.255.0{

range dynamic-bootp 192.168.20.50 192.168.20.100;

option broadcast-address 192.168.20.255;

option routers 192.168.20.254;

}

192.168.20.0: شناسه شبكه

255.255.255.0: دامنه شبكه

range dynamic-bootp 192.168.20.50 192.168.20.100;: محدوده آدرس دهي

option broadcast-address 192.168.20.255;: آدرس همگاني شبكه

option routers 192.168.20.254;: دروازه شبكه

8-رزرو كردن آي پي: براي رزرو كردن آي پي براي يك كلاينت خاص از پارامتر هاي زير استفاده كنيد.

host cl1.domain.com{

hardware ethernet 00:0c:29:d4:d6:d8;

fixed-address 192.168.20.99;

}

host cl1.domain.com{

hardware ethernet 00:0c:29:d4:d6:d8;

fixed-address 192.168.20.99;

}

host cl1.domain.com: نام كلاينت

hardware ethernet 00:0c:29:d4:d6:d8;: آدرس فيزيكي كارت شبكه كلاينت(MAC)

fixed-address 192.168.20.99;: آدرس آي پي رزرو شده

بعد از پيكربندي فايل dhcpd.conf با اجراي دستور زير سرويس DHCP را استارت كنيد.

[root@dhcp ~]# systemctl start dhcpd

1	[root@dhcp ~]# systemctl start dhcpd

با اجراي دستور بالا سرويس DHCP در صورتي كه فايل پيكربندي آن به درستي مقداردهي شده باشيد اجرا مي شود و آماده پاسخگويي به كلاينت ها مي باشد.

براي مشاهده آدرس آي پي هاي تخصيص داده شده به كلاينت هاي مختلف بايد فايل /var/lib/dhcpd.leases را مشاهده كنيد.

[root@dhcp ~]# cat /var/lib/dhcpd/dhcpd.leases

# The format of this file is documented in the dhcpd.leases(5) manual page.

# This lease file was written by isc-dhcp-4.2.5

 

lease 192.168.20.99 {

  starts 1 2014/10/06 10:38:35;

  ends 1 2014/10/06 10:48:35;

  tstp 1 2014/10/06 10:48:35;

  cltt 1 2014/10/06 10:38:35;

  binding state active;

  next binding state free;

  rewind binding state free;

  hardware ethernet 00:0c:29:d4:d6:d8;

  uid "010014)\324\326\330";

  client-hostname "cl-132a625d";

}

lease 192.168.20.50 {

  starts 1 2014/10/06 10:38:35;

  ends 1 2014/10/06 10:48:35;

  tstp 1 2014/10/06 10:48:35;

  cltt 1 2014/10/06 10:38:35;

  binding state active;

  next binding state free;

  rewind binding state free;

  hardware ethernet 00:0c:29:d4:d6:e2;

  uid "010014)\324\326\342";

  client-hostname "cl-132a625d";

}

server-duid "0001000133\305-\2240014)J\314\227";

[root@dhcp ~]# cat /var/lib/dhcpd/dhcpd.leases

# The format of this file is documented in the dhcpd.leases(5) manual page.

# This lease file was written by isc-dhcp-4.2.5

lease 192.168.20.99 {

starts 1 2014/10/06 10:38:35;

ends 1 2014/10/06 10:48:35;

tstp 1 2014/10/06 10:48:35;

cltt 1 2014/10/06 10:38:35;

binding state active;

next binding state free;

rewind binding state free;

hardware ethernet 00:0c:29:d4:d6:d8;

uid "010014)\324\326\330";

client-hostname "cl-132a625d";

}

lease 192.168.20.50 {

starts 1 2014/10/06 10:38:35;

ends 1 2014/10/06 10:48:35;

tstp 1 2014/10/06 10:48:35;

cltt 1 2014/10/06 10:38:35;

binding state active;

next binding state free;

rewind binding state free;

hardware ethernet 00:0c:29:d4:d6:e2;

uid "010014)\324\326\342";

client-hostname "cl-132a625d";

}

server-duid "0001000133\305-\2240014)J\314\227";

اکتبر 18, 2014اکتبر 19, 2014

مديريت بسته هاي نرم افزاري

نرم افزار ها در سيستم عامل هاي بر پايه RedHat در قالب يكسري فايل با پسوند rpm بسته بندي مي شوند فايل هاي rpm علاوه بر بسته هاي نرم افزاري شامل يكسري اطلاعات ديگر در مورد بسته هاي مي باشند اين اطلاعات شامل توضيحات، پيش نياز ها، معماري(32 يا 64 بيتي)، سازنده، حجم(اندازه)، لايسنس و يكسري اطلاعات ديگر مي باشد.

زماني كه سيستم عامل را نصب مي كنيد مي توانيد بسته هاي نرم افزاري مورد نياز خود را با فرآيند نصب سيستم عامل اضافه و يا حذف نماييد سيستم عاملي هايي نظير CentOS كه مشتق گرفته از RedHat مي باشند از سيستم بسته بندي rpm براي بسته بندي نرم افزارها استفاده مي كنند براي مديريت بسته هاي rpm ابزارهاي فراواني وجود دارد دو مورد از بهترين و پراستفاده ترين اين ابزار هاي yum و rpm مي باشد كه ما در اين نوشته اين دو مورد را مختصرا مورد بررسي قرار خواهيم داد.

yum: دستور yum يكي از پراستفاده ترين ابزار ها براي مديريت بسته هاي نرم افزاري مي باشد اين دستور به صورت خودكار بسته هاي نرم افزاري را به همراه پيش نياز هاي آن از مخازن انلاين و يا آفلاين نرم افزاري دانلود و به ترتيب نصب مي نمايد اين دستور در بيشتر موارد به دستور rpm ترجيح داده مي شود.

rpm: دستور rpm براي نصب بسته هاي نرم افزاري از سيستم محلي مانند هارد ديسك و يا سي دي/ دي وي دي به كار گرفته مي شود از جمله كار هايي كه با اين دستور مي توان انجام داد مي توان به حذف و پرس و جوي بسته هاي نرم افزاري اشاره كرد اين دستور در صورت نصب نبودن پيش نياز ها هيچ اقدامي نسبت به نصب آنها انجام نمي دهد و در صورت نصب نبودن پيش نياز ها فرآيند نصب با مشكل مواجه مي شود.

كار با مخازن نرم افزاري

مخازن نرم افزاري توسط يكسري فايل با پسوند repo كه در شاخه /etc/yum.repo.d/ قرار گرفته اند براي سيستم معرفي مي شوند هر چند تعداد اين مخازن در سيستم بيشتر باشد تعداد نرم افزارهايي كه توسط ابزار yum مي توان به نصب آنها اقدام نمود بيشتر مي شود روش هاي متفاوتي براي اضافه كردن مخازن نرم افزاري وجود دارد كه در ادامه چند مورد از پركاربردترين آنها را مورد بررسي قرار خواهيم داد.

براي اضافه كردن يك مخرن به سيستم بايد يك فايل در شاخه /etc/yum.repo.d/ كه شامل آدرس مخزن و فايل كليد GPG آن مي باشد ايجاد شود فايل كليد GPG براي verify كردن بسته هاي دانلود شده از مخزن مورد استفاده قرار مي گيرد. فايل هاي repo كه مشخص كننده مخازن مي باشد را مي توان هم به صورت دستي ايجاد كرد و هم به صورت خودكار، در روش خودكار روال كار به اين شكل هست كه توليد كننده مخزن براي ايجاد فايل repo يك فايل rpm توليد مي كند كه كاربر با نصب فايل rpm فايل repo آن مخزن به صورت خودكار ايجاد مي شود.

اضافه كردن فايل repo(مخزن نرم افزار) به صورت دستي:

براي اضافه كردن فايل repo به صورت دستي همان طور كه قبلا اشاره شده بايد يك فايل با پسوند repo در شاخه /etc/yum.repo.d/ ايجاد كنيد محتويات اين فايل مي تواند مقادير متفاوتي باشد كه در زير برخي از پارامتر هاي و مقادير مربوط به آن را مورد بررسي قرار خواهيم داد.

در مثال زير فايل هاي repo موجود در شاخه/etc/yum.repo.d/ را مشاهده مي كنيد.

[root@mcentos ~]# ls /etc/yum.repos.d/ -l

total 20

-rw-r--r--. 1 root root 1612 Jul  4 15:30 CentOS-Base.repo

-rw-r--r--. 1 root root  640 Jul  4 15:30 CentOS-Debuginfo.repo

-rw-r--r--. 1 root root 1331 Jul  4 15:30 CentOS-Sources.repo

-rw-r--r--. 1 root root  156 Jul  4 15:30 CentOS-Vault.repo

-rw-r--r--. 1 root root   64 Oct  6 16:19 media.repo

[root@mcentos ~]# ls /etc/yum.repos.d/ -l

total 20

-rw-r--r--. 1 root root 1612 Jul 4 15:30 CentOS-Base.repo

-rw-r--r--. 1 root root 640 Jul 4 15:30 CentOS-Debuginfo.repo

-rw-r--r--. 1 root root 1331 Jul 4 15:30 CentOS-Sources.repo

-rw-r--r--. 1 root root 156 Jul 4 15:30 CentOS-Vault.repo

-rw-r--r--. 1 root root 64 Oct 6 16:19 media.repo

محتويات فايل media.repo در بخش زير نمايش داده شده است.

[root@mcentos yum.repos.d]# cat media.repo
[media]
name=media
baseurl=file:///centos7
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

[root@mcentos yum.repos.d]# cat media.repo

[media]

name=media

baseurl=file:///centos7

enabled=1

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

[media]: مشخص كننده يك مخزن مي باشد چون در يك فايل repo مي توان چندين مخرن را معرفي كرد با استفاده از [] مي توان مخازن مختلف را در يك فايل معرفي كرد.

name: اين پارامتر مشخص كننده نام مخزن مي باشد كه به هنگام استفاده از دستور yum مورد نياز مي باشد.

baseurl: اين پارامتر اصلي ترين پارامتر اين نوع فايل ها بوده و مشخص كننده آدرس مخزن نرم افزار مي باشد همان طور كه در بخش بالا مشاهده مي كنيد در مخزن media ما از يك شاخه محلي كه شامل دي وي دي نصب CentOS مي باشد استفاده كرديم از جمله مقاديري كه اين پارامتر مي تواند داشته باشد آدرس مخازن نرم افزاري آنلاين مي باشد كه به مانند مثال زير مي باشند.

http://mirror.centos.org/centos/$releasever/updates/$basearch/

1	http://mirror.centos.org/centos/$releasever/updates/$basearch/

enabled: اين پارامتر مشخص كننده فعال يا غير فعال بودن يك مخزن مي باشد كه مي تواند دو مقدار 0 يا 1 را به معني غير فعال و فعال بودن بپذيرد.

gpgcheck: اين پارامتر همانند پارامتر بالا مي تواند دو مقدار 0 يا 1 را داشته باشد و مشخص كننده بررسي فايل هاي دانلودي از جهت درست دانلود شدن آنها مورد استفاده قرار مي گيرد.

gpgkey: اين پارمتر نيز مشخص كننده فايل كليد GPG مي باشد كه براي verigy كردن بسته هاي دانلودي مورد استفاده قرار مي گيرد مقدار اين پارامتر نيز مانند baseurl مي تواند به صورت آفلاين يا آنلاين باشد.

بعد از اينكه فايل repo ساخته شد نياز است تا فايل كليد GPG بر روي سيستم نصب شود براي اين منظور از دستور زير استفاده كنيد مقدار /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 در دستور زير مشخص كننده آدرس فايل GPG مي باشد كه مي تواند هم به صورت محلي باشد هم به صورت آنلاين.

[root@mcentos yum.repos.d]# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

1	[root@mcentos yum.repos.d]# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

اضافه كردن فايل repo (مخزن نرم افزار) به صورت خودكار:

براي نصب مخازن نرم افزاري به صورت خودكار از دستور زير استفاده كنيد مقدار http://rpm.livna.org/livna-release-6.rpm مشخص كننده فايل rpm مربوط به مخزن نرم افزار مورد نياز مي باشد كه هم مي توانيد به صورت يك فايل محلي باشد هم به صورت يك فايل آنلاين.

[root@mcentos ~]# rpm -Uhv http://rpm.livna.org/livna-release-6.rpm

1	[root@mcentos ~]# rpm -Uhv http://rpm.livna.org/livna-release-6.rpm

دستور yum:

پيدا كردن بسته ها:

دستور yum گزينه هاي متفاوتي براي پيداكردن اطلاعات در مورد بسته هاي نرم افزاري را داراست، همچنين با اين دستور مي توان به دنبال بسته هاي نرم افزاري در ميان مخازن نرم افزاري گشت، نمونه اي از اين گزينه هاي را در اين نوشته مورد بررسي قرا خواهيم داد.

گزينه list: اين گزينه براي پيداكردن بسته هاي نرم افزاري با شرايط خاص به كار مي رود به مثال هاي زير توجه كنيد.

[root@mcentos ~]# yum list available

1	[root@mcentos ~]# yum list available

در اين مثال كليه بسته هاي نرم افزاري موجود در مخازن نرم افزاري نمايش داده مي شود.

[root@mcentos ~]# yum list installed

1	[root@mcentos ~]# yum list installed

در اين مثال كليه بسته هاي نرم افزاري نصب شده بر روي سيستم نمايش داده مي شود.

[root@mcentos ~]# yum list extra

1	[root@mcentos ~]# yum list extra

در اين مثال نرم افزار هاي نصب نشده موجود در مخازن نرم افزاري نمايش داده مي شود.

[root@mcentos ~]# yum list http*

1	[root@mcentos ~]# yum list http*

در اين مثال كليه بسته هاي نرم افزاري كه اول نام آنها شامل كلمه http مي باشد نمايش داده مي شود.

[root@mcentos ~]# yum list updates

1	[root@mcentos ~]# yum list updates

در اين مثال كليه به روز رساني هاي بسته هاي نرم افزاري نصب شده نمايش داده مي شود.

گزينه info:

اين گزينه براي نمايش توضيحات بسته هاي نرم افزاري مورد استفاده قرار مي گيرد اين توضيحات از مخازن نرم افزاري استخراج مي شود به مثال هاي زير توجه كنيد.

[root@mcentos ~]# yum info nano

1	[root@mcentos ~]# yum info nano

در اين مثال توضيحات مربوط به بسته ي نرم افزاري nano نمايش داده مي شود.

[root@mcentos ~]# yum info word*

1	[root@mcentos ~]# yum info word*

در اين مثال توضيحات مربوط به بسته هاي نرم افزاري كه با كلمه ي word شروع مي شوند نمايش داده مي شود.

گزينه search:

اين گزينه براي جستجوي يك رشته در توضيحات، بسته بندي كننده، نام بسته، و يا خلاصه بسته به كار مي رود و شكل استفاده آن به صورت زير مي باشد.

[root@mcentos ~]# yum search mp3

1	[root@mcentos ~]# yum search mp3

گزينه whatprovides: اين گزينه براي جستجو در ميان فايل ها و يا وي‍ژگي هاي بسته هاي نرم افزاري به صورت زير به كار گرفته مي شود.

[root@mcentos ~]# yum whatprovides ogg

1	[root@mcentos ~]# yum whatprovides ogg

نصب بسته هاي نرم افزاري:

براي نصب بسته هاي نرم افزاري از ميان مخازن نرم افزاري معرفي شده به سيستم از گزينه ي install دستور yum به شكل زير استفاده كنيد.

[root@mcentos ~]# yum install wordpress

1	[root@mcentos ~]# yum install wordpress

در اين مثال بسته wordpress را مي خواهيم نصب كنيم با اجراي دستور بالا اين بسته به همراه پيش نياز هاي آن به صورت خودكار از مخازن نرم افزاري دانلود و به ترتيب نصب مي شوند. به هنگام فرآيند نصب اطلاعاتي از قبيل نسخه بسته نرم افزاري، معماري(32 يا 64 بيتي)، اندازه(حجم)دانلودي و نصبي، پيش نياز هاي آن به همراه مخازن نرم افزاري مورد استفاده براي نصب بسته هاي نرم افزاري نمايش داده مي شود و از سوالي مبني بر اينكه آيا اين اطلاعات مورد تاييد مي باشد يا نه پرسيده مي شود كه بايد حرف y به منزله ي yes را وارد كنيد تا فرآيند نصب ادامه پيدا كند اگر مي خواهيد از پرسيدن اين سوال خودداري شود مي توانيد ارامتر –y به عنوان ورودي به شكل زير به دستور yum بفرستيد به مثال زير توجه كنيد.

[root@mcentos ~]# yum –y install wordpress

1	[root@mcentos ~]# yum –y install wordpress

دستور yum علاوه بر اينكه مي تواند بسته هاي نرم افزاري را زا مخازن نرم افزاري نصب كند قابليت اين را هم دارد كه فايل هاي rpm را از فايل سيستم محلي نصب كند گزينه localinstall اين دستور براي اين منظور به شكل زير در دسترس است.

[root@mcentos ~]# yum localinstall nano-2.3.1-10.el7.x86_64.rpm

1	[root@mcentos ~]# yum localinstall nano-2.3.1-10.el7.x86_64.rpm

در مثال بالا بسته نرم افزاري nano-2.3.1-10.el7.x86_64.rpm مورد نصب واقع مي شود.

بسته هاي نرم افزاري در مخازن به صورت گروهي دسته بندي مي شوند براي مثال گروه XFCR شامل تمامي بسته هاي نرم افزاري مربوط به ميزكار XFCE مي باشد براي نصب گروهي اين بسته هاي مي توان از گزينه groupinstall دستور yum استفاده كرد به مثال زير توجه كنيد.

[root@mcentos ~]# yum groupinstall XFCE

1	[root@mcentos ~]# yum groupinstall XFCE

با اجراي دستور بالا تمامي بسته هاي نرم افزاري در گروه XFCE يكجا نصب مي شوند.

به روز رساني بسته هاي نرم افزاري:

دستور yum علاوه بر نصب بسته هاي نرم افزاري امكان به روز رساني آنها را نيز فراهم كرده است به نمونه هاي زير توجه كنيد.

[root@mcentos ~]# yum check-update

1	[root@mcentos ~]# yum check-update

دستور بالا تمامي بسته هاي نرم افزاري كه امكان به روز رساني آنها به نسخه بالاتر از نسخه ي نصب شده وجود دارد را ليست مي كند.

[root@mcentos ~]# yum list updates openoffice

1	[root@mcentos ~]# yum list updates openoffice

دستور بالا كليه ي به روز رساني هاي بسته openoffice را نمايش مي دهد.

[root@mcentos ~]# yum update openoffice

1	[root@mcentos ~]# yum update openoffice

دستور بالا بسته openoffice را به روزرساني مي كند.

[root@mcentos ~]# yum update

1	[root@mcentos ~]# yum update

دستور بالا كليه ي بسته هاي سيستم را به آخرين نسخه به روز رساني مي كند.

[root@mcentos ~]# yum groupupdate XFCE

1	[root@mcentos ~]# yum groupupdate XFCE

دستور بالا كليه ي بسته هاي موجود در گروه XFCE را به روز رساني مي كند.

حذف بسته هاي نرم افزاري:

علاوه بر نصب و به روزرساني بسته هاي نرم افزاري توسط دستور yum امكان حذف بسته ها نيز توسط اين دستور فراهم شده است به مثال هاي زير توجه كنيد.

[root@mcentos ~]# yum remove nano

1	[root@mcentos ~]# yum remove nano

دستور بالا بسته nano را حذف مي كند.

[root@mcentos ~]# yum remove xscreen*

1	[root@mcentos ~]# yum remove xscreen*

دستور بالا كليه بسته هايي كه با xscreen شروع مي شود را حذف مي كند.

[root@mcentos ~]# yum groupremove XFCE

1	[root@mcentos ~]# yum groupremove XFCE

دستور بالا كليه ي بسته هاي موجود در گروه XFCE را حذف مي كند.

توجه داشته باشيد كه به هنگام حذف بسته ها با گزينه remove و groupremove بسته هاي كه حذف مي شوند را نمايش داده و تاييديه حذف از كاربر درخواست مي شود كه بايد y را به منزله ي yes وارد كنيد تا فرآيند حذف كامل شود.

پاك سازي كش:

اگر مقدار پارامتر keepcache در فايل /etc/yum.conf برابر 1 باشد بسته ها و يكسري اطلاعات ديگر در قالب فايلهايي در كش در مسير /var/cahce/yum/rep ذخيره مي شود گزينه clean دستور yum قابليت پاك سازي بسته ها، header ها و metadata ها را از كش داراست به مثال هاي زير توجه كنيد.

[root@mcentos ~]# yum clean packages

1	[root@mcentos ~]# yum clean packages

مثال بالا كليه ي بسته هاي نرم افزاري موجود در كش را پاك مي كند.

[root@mcentos ~]# yum clean metadata

1	[root@mcentos ~]# yum clean metadata

مثال بالا كليه ي metadata هاي موجود در كش را پاك مي كند.

[root@mcentos ~]# yum clean header

1	[root@mcentos ~]# yum clean header

مثال بالا كليه ي header هاي موجود در كش را پاك مي كند.

[root@mcentos ~]# yum clean all

1	[root@mcentos ~]# yum clean all

مثال بالا كليه ي بسته هاي نرم افزاري، metadata ها و header ها را از كش پاك مي كند.

علاوه بر گزينه هاي كه در بخش هاي قبلي مورد بررسي قرار داديم دستور yum گزينه هاي ديگري نيز دارد در اين بخش مي خواهيم دو گرينه پركاربرد ديگر كه براي فعال و غير فعال كردن مخازن نرم افزاري مورد استفاده قرار مي گيرد را بررسي قرار خواهيم داد.

گزينه disablerepo: اين گزينه براي غير فعال كردن يك مخزن مورد استفاده قرار مي گيرد به مثال زير توجه كنيد.

[root@mcentos ~]# yum --disablerepo=media search httpd

1	[root@mcentos ~]# yum --disablerepo=media search httpd

در مثال بالا دستور yum اقدام به جستجو در مورد بسته httpd مي كند با اين كه مخزن media غير فعال شده و در اين مخزن عمل جستجو انجام نمي شود.

گزينه enablerepo: اين گزينه براي فعال كردن يك مخزن مورد استفاده قرار مي گيرد در مثال زير با توجه به اينكه مخزن media كه با اضافه كردن مقدار 0 به پارامتر enabled در فايل repo آن از قبل غير فعال شده است با فعال كردن آن اقدام به نصب بسته nano مي كند.

[root@mcentos ~]# yum --enablerepo=media install nano

1	[root@mcentos ~]# yum --enablerepo=media install nano

دستور rpm:

اگر چه دستور yum قابليت نصب بسته هاي rpm را از ديسك محلي و اينترنت را داراست ولي دستور rpm گزينه هاي قابل توجهي براي نصب، پرس و جو و تصديق بسته هاي rpm را داراست اين دستور همچنين قابليت حذف بسته هاي rpm را نيز شامل مي شود براي نصب و حذف بسته هاي با اين دستور نياز به مجوز root داريد ولي براي پرس و جو در مورد بسته هاي نياز به مجوز root نداريد.

نصب بسته ها:

براي نصب بسته هاي نرم افزاري توسط اين دستور بايد از گزينه –ivh استفاده كنيد به مثال زير توجه كنيد.

[root@mcentos ~]# rpm -ivh nano-2.3.1-10.el7.x86_64.rpm

Preparing...                          ################################# [100%]

Updating / installing...

1:nano-2.3.1-10.el7                ################################# [100%]

[root@mcentos ~]# rpm -ivh nano-2.3.1-10.el7.x86_64.rpm

Preparing... ################################# [100%]

Updating / installing...

1:nano-2.3.1-10.el7 ################################# [100%]

همان طور كه قبلا بيان شد اين دستور نمي تواند پيش نياز هاي يك بسته را به صورت خودكار دانلود و نصب كند و در صورت نصب نبودن پيش نياز هاي بسته نصب بسته مورد نظر با خطا مواجه خواهد شد.

به روز رساني بسته ها:

براي به روزرساني يك بسته به نسخه بالاتر از گزينه –Uvh استفاده مي شود توجه داشته باشيد كه اگر يك نسخه پايين تر از بسته در سيستم نصب باشد و بخواهيد با گزينه –ivh اقدام به نصب نسخه بالاتر بكنيد با خطا مواجه خواهيد شد و بايد با گزينه –Uvh اقدام به روزرساني آن بكنيد به مثال زير توجه كنيد.

[root@mcentos ~]# rpm -Uvh nano-2.3.1-10.el7.x86_64.rpm

1	[root@mcentos ~]# rpm -Uvh nano-2.3.1-10.el7.x86_64.rpm

حذف بسته ها:

براي حذف بسته ي نرم افزاري از گزينه –e دستور rpm مي توان استفاده كرد براي مثال براي حذف بسته nano مي توان به شكل زير استفاده كرد.

[root@mcentos ~]# rpm -e nano

1	[root@mcentos ~]# rpm -e nano

توجه داشته باشيد كه با نصب بودن چندين بسته با اسم nano بايد نام آن بهص روت دقيق وارد شود به مثال زير توجه كنيد.

[root@mcentos ~]# rpm -e nano-2.3.1-10.el7.x86_64

1	[root@mcentos ~]# rpm -e nano-2.3.1-10.el7.x86_64

ولي در صورتي كه بخواهيد كليه ي بسته هايي كه نام آنها داراي nano است پاك شود مي توانيد از گزينه –allmatches به صورت زير استفاده كنيد.

[root@mcentos ~]# rpm -e --allmatches nano

1	[root@mcentos ~]# rpm -e --allmatches nano

گزينه nodeps: همان طور كه قبلا چندين بار بيان شد دشتور rpm نمي تواند اقدام به نصب و حذف پيش نياز ها بكند براي ناديده گرفتن پيش نياز ها توسط اين دستور مي توانيد از گزينه –nodeps استفاده كنيد به مثال زير توجه كنيد.

[root@mcentos ~]# rpm -ivh --nodeps nano-2.3.1-10.el7.x86_64.rpm

1	[root@mcentos ~]# rpm -ivh --nodeps nano-2.3.1-10.el7.x86_64.rpm

در مثال بالا بسته nano بدون توجه به پيش نياز هاي آن نصب مي شود.

پرس و جو در مورد بسته هاي rpm:

دستور rpm گزينه هاي متععدي براي پرس و جو در مورد بسته ها دارد به مثال هاي زير توجه كنيد.

[root@mcentos ~]# rpm -q nano

nano-2.3.1-10.el7.x86_64

[root@mcentos ~]# rpm -q nano

nano-2.3.1-10.el7.x86_64

در مثال بالا نسخه بسته نصب شده nano نمايش داده مي شود.

[root@mcentos ~]# rpm -qp nano-2.3.1-10.el7.x86_64.rpm

nano-2.3.1-10.el7.x86_64

[root@mcentos ~]# rpm -qp nano-2.3.1-10.el7.x86_64.rpm

nano-2.3.1-10.el7.x86_64

در مثال بالا اطلاعات مربوط به فايل nano-2.3.1-10.el7.x86_64.rpm نمايش داده مي شود.

[root@mcentos ~]# rpm –qa

1	[root@mcentos ~]# rpm –qa

در مثال بالا كليه ي بسته هاي نصب شده بر روي سيستم نمايش داده مي شود.

[root@dhcp ~]# rpm -qf /etc/dhcp/dhcpd.conf

dhcp-4.2.5-27.el7.centos.x86_64

[root@dhcp ~]# rpm -qf /etc/dhcp/dhcpd.conf

dhcp-4.2.5-27.el7.centos.x86_64

در مثال بالا بسته اي كه فايل /etc/dhcp/dhcpd.conf متعلق به آن مي باشد را نمايش مي دهد.

[root@mcentos ~]# rpm -qi nano

Name        : nano

Version     : 2.3.1

Release     : 10.el7

Architecture: x86_64

Install Date: Sat 18 Oct 2014 12:52:18 PM IRST

Group       : Applications/Editors

Size        : 1715901

License     : GPLv3+

Signature   : RSA/SHA256, Fri 04 Jul 2014 08:23:43 AM IRDT, Key ID 24c6a8a7f4a80eb5

Source RPM  : nano-2.3.1-10.el7.src.rpm

Build Date  : Tue 10 Jun 2014 09:17:54 AM IRDT

Build Host  : worker1.bsys.centos.org

Relocations : (not relocatable)

Packager    : CentOS BuildSystem <http://bugs.centos.org>

Vendor      : CentOS

URL         : http://www.nano-editor.org

Summary     : A small text editor

Description :

GNU nano is a small and friendly text editor.

[root@mcentos ~]# rpm -qi nano

Name : nano

Version : 2.3.1

Release : 10.el7

Architecture: x86_64

Install Date: Sat 18 Oct 2014 12:52:18 PM IRST

Group : Applications/Editors

Size : 1715901

License : GPLv3+

Signature : RSA/SHA256, Fri 04 Jul 2014 08:23:43 AM IRDT, Key ID 24c6a8a7f4a80eb5

Source RPM : nano-2.3.1-10.el7.src.rpm

Build Date : Tue 10 Jun 2014 09:17:54 AM IRDT

Build Host : worker1.bsys.centos.org

Relocations : (not relocatable)

Packager : CentOS BuildSystem <http://bugs.centos.org>

Vendor : CentOS

URL : http://www.nano-editor.org

Summary : A small text editor

Description :

GNU nano is a small and friendly text editor.

دستور بالا اطلاعات تكميلي در مورد بسته ي nano را نمايش مي دهد.

[root@mcentos ~]# rpm -qlp nano-2.3.1-10.el7.x86_64.rpm

1	[root@mcentos ~]# rpm -qlp nano-2.3.1-10.el7.x86_64.rpm

مثال بالا محتويات فايل nano-2.3.1-10.el7.x86_64.rpm را نمايش مي دهد.

[root@mcentos ~]# rpm -q --scripts nano

postinstall scriptlet (using /bin/sh):

if [ -f /usr/share/info/nano.info.gz ]; then

/sbin/install-info /usr/share/info/nano.info.gz /usr/share/info/dir

fi

exit 0

preuninstall scriptlet (using /bin/sh):

if [ $1 -eq 0 ]; then

if [ -f /usr/share/info/nano.info.gz ]; then

/sbin/install-info --delete /usr/share/info/nano.info.gz /usr/share/info/dir

fi

fi

exit 0

[root@mcentos ~]# rpm -q --scripts nano

postinstall scriptlet (using /bin/sh):

if [ -f /usr/share/info/nano.info.gz ]; then

/sbin/install-info /usr/share/info/nano.info.gz /usr/share/info/dir

exit 0

preuninstall scriptlet (using /bin/sh):

if [ $1 -eq 0 ]; then

if [ -f /usr/share/info/nano.info.gz ]; then

/sbin/install-info --delete /usr/share/info/nano.info.gz /usr/share/info/dir

exit 0

در مثال بالا اسكريپت هاي قبل و بعد از نصب بسته nano را نمايش مي دهد.

ساخت مجدد فايل پايگاه داده مربوط به rpm:

اگرفايل پايگاه داده مربو به دستور rpm دچار خرابي شود و امكان كار با دستور rpm و نصب بسته ها وجود نخواهد داشت براس ساخت مجدد فايل پايگاره داده از فايل هاي header بسته هاي نصب شده ابتدا با دستور زير فايل هاي پايگاه داده خراب را پاك كنيد.

[root@mcentos ~]# rm /var/lib/rpm/__db.00*

1	[root@mcentos ~]# rm /var/lib/rpm/__db.00*

سپس با دستور زير فايل پايگاه داده را دوباره ايجاد كنيد.

[root@mcentos ~]# rpm --rebuilddb

1	[root@mcentos ~]# rpm --rebuilddb

اکتبر 18, 2014اکتبر 22, 2014

دانلود فايل هاي rpm از مخازن نرم افزاري

همان طور كه مي دانيد دستور yum بسته هاي نرم افزاري را از مخازن نرم افزاري دانلود و نصب مي نمايد در بعضي شرايط ما نياز به يك بسته نرم افزاري داريم و ميخواهيم فايل rpm آن را دانلود كنيم براي دانلود بسته هاي rpm از مخازن نرم افزاري مي توانيد از ابزار هاي yum استفاده كنيم براي نصب اين ابزار هاي دستور زير را اجرا كنيد.

[root@mcentos ~]# yum install yum-utils

1	[root@mcentos ~]# yum install yum-utils

بعد از اجرا دستور بالا يكسري ابزار ها مربوط به yum نصب مي شود يكي از اين ابزار ها yumdownloader مي باشد كه براي دانلود بسته هاي نرم افزاري مورد استفاده قرار مي گيرد به مثال زير توجه كنيد.

[root@mcentos ~]# yumdownloader nano

1	[root@mcentos ~]# yumdownloader nano

با اجراي دستور بالا بسته نرم افزاري nano در دايركتوري جاري دانلود مي شود.

اکتبر 14, 2014اکتبر 15, 2014

اضافه كردن دي وي دي CentOS به عنوان مخزني براي نصب بسته هاي نرم افزاري با استفاده از دستور yum

همان طور كه مي دانيد دستور yum براي نصب بسته هاي نرم افزار ي مورد استفاده قرار مي گيرد اين دستور از مخازن معرفي شده در سيستم به عنوان محلي براي يافتن بسته ها استفاده مي كند براي اضافه كردن دي وي دي CentOS به عنوان يك مخزن ابتدا يك دايركتوري ساخته و دي وي دي CentOS را به آن Mount كنيد براي اين منظور از دستورات زير به ترتيب استفاده كنيد.

[root@centos ~]# mkdir /centos

[root@centos ~]# mount /dev/cdrom /centos

mount: /dev/sr0 is write-protected, mounting read-only

[root@centos ~]# mkdir /centos

[root@centos ~]# mount /dev/cdrom /centos

mount: /dev/sr0 is write-protected, mounting read-only

در مرحله بعدي بايد يك فايل از نوع repo در مسير /etc/yum.repo.d/ ساخته و محتويات آن را به شكل زير وارد كنيد.

[root@centos ~]# vi /etc/yum.repos.d/media.repo

[media]

name=media

baseurl=file:///centos

enabled=1

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

[root@centos ~]# vi /etc/yum.repos.d/media.repo

[media]

name=media

baseurl=file:///centos

enabled=1

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

در نمونه بالا اسم فايل ما media مي باشد يكي از مهمترين پارامتر هاي اين فايل name مي باشد كه ما آن را media قرار داديم و ديگري baseurl مي باشد كه مقدار آن برابر با دايركتوري مي باشد كه در مرحله قبل دي وي دي CentOS را به آن Mount كرديم.

از اين پس براي نصب بسته هاي نرم افزاري از دي وي دي CentOS با استفاده از دستور yum بايد مخازن ديگر را غير فعال كرده و مخزن media را فعال كنيد به طور مثال براي نصب wget به شكل زير از اين دستور استفاده كنيد.

[root@centos ~]# yum install --disablerepo=\* --enablerepo=media wget

Loaded plugins: fastestmirror

Loading mirror speeds from cached hostfile

Resolving Dependencies

--> Running transaction check

---> Package wget.x86_64 0:1.14-10.el7 will be installed

--> Finished Dependency Resolution

Dependencies Resolved

================================================================================

 Package        Arch             Version                  Repository       Size

================================================================================

Installing:

 wget           x86_64           1.14-10.el7              media           545 k

Transaction Summary

================================================================================

Install  1 Package

Total download size: 545 k

Installed size: 2.0 M

Is this ok [y/d/N]: y

Downloading packages:

Running transaction check

Running transaction test

Transaction test succeeded

Running transaction

  Installing : wget-1.14-10.el7.x86_64                                      1/1

  Verifying  : wget-1.14-10.el7.x86_64                                      1/1

Installed:

  wget.x86_64 0:1.14-10.el7

Complete!

[root@centos ~]# yum install --disablerepo=\* --enablerepo=media wget

Loaded plugins: fastestmirror

Loading mirror speeds from cached hostfile

Resolving Dependencies

--> Running transaction check

---> Package wget.x86_64 0:1.14-10.el7 will be installed

--> Finished Dependency Resolution

Dependencies Resolved

================================================================================

Package Arch Version Repository Size

================================================================================

Installing:

wget x86_64 1.14-10.el7 media 545 k

Transaction Summary

================================================================================

Install 1 Package

Total download size: 545 k

Installed size: 2.0 M

Is this ok [y/d/N]: y

Downloading packages:

Running transaction check

Running transaction test

Transaction test succeeded

Running transaction

Installing : wget-1.14-10.el7.x86_64 1/1

Verifying : wget-1.14-10.el7.x86_64 1/1

Installed:

wget.x86_64 0:1.14-10.el7

Complete!

همان طور كه در مثال بالا مشخص شده است بسته wget از مخزن media نصب شده است.

اکتبر 10, 2014اکتبر 14, 2014

پيكربندي اوليه CentOS 7

پس از نصب اوليه سيستم عامل CentOS براي به كارگيري آن در محيط عملياتي نياز است تا يكسري پيكربندي هاي اوليه بر روي آن انجام شود از جمله اين پيكربندي هاي مي توان به تغيير نام و آي پي اشاره كرد در اين نوشته نحوه اعمال اين پيكربندي هاي كه به صورت زير هستند را مورد بررسي قرار خواهيم داد.

تغيير نام
اختصاص آي پي و تنظيمات مربوط به شبكه
اضافه كردن كاربر جديد
فايروال و SElinux
TimeZone
به روز رساني سرور
غير فعال كردن IPV6
نصب VMware Tools
SSH

1-تغيير نام

براي تغيير نام و دامنه سرور روش هاي متفاوتي وجود دارد يكي از ساده ترين اين روش ها استفاده از دستور hostnamectl مي باشد با اجراي اين دستور نام سرور به همراه يكسري مشخصات ديگر به نمايش در مي آيد.

[root@centos ~]# hostnamectl

Static hostname: centos.domain.local

Icon name: computer-vm

Chassis: vm

Machine ID: c1e5f5ace9de418c9a828e67b77fc64a

Boot ID: 6c6029965f734dbe86bf0b6cc500f8d4

Virtualization: vmware

Operating System: CentOS Linux 7 (Core)

CPE OS Name: cpe:/o:centos:centos:7

Kernel: Linux 3.10.0-123.el7.x86_64

Architecture: x86_64

[root@centos ~]# hostnamectl

Static hostname: centos.domain.local

Icon name: computer-vm

Chassis: vm

Machine ID: c1e5f5ace9de418c9a828e67b77fc64a

Boot ID: 6c6029965f734dbe86bf0b6cc500f8d4

Virtualization: vmware

Operating System: CentOS Linux 7 (Core)

CPE OS Name: cpe:/o:centos:centos:7

Kernel: Linux 3.10.0-123.el7.x86_64

Architecture: x86_64

براي تغيير نام بايد به شكل زير از اين دستور استفاده كنيد.

[root@centos ~]# hostnamectl set-hostname name

1	[root@centos ~]# hostnamectl set-hostname name

به عنوان نمونه:

[root@centos ~]# hostnamectl set-hostname centos.domain.com

1	[root@centos ~]# hostnamectl set-hostname centos.domain.com

بعد از اجراي دستور بالا براي اعمال تغييرات با دستور reboot سرور را راه اندازي مجدد كنيد.

2- اختصاص آي پي و تنظيمات مربوط به شبكه

براي اختصاص آي پي و تنظيمات مربوط به شبكه راه ها و ابزار هاي فراواني وجود دارد ما در اين نوشته با ايجاد تغييرات در فايل ifcfg-* اقدام به تغيير آي پي و تنظيمات مربوط به شبكه خواهيم نمود براي اين منظور فايل ifcfg-*(* را با نام كارت شبكه خود جايگزين كنيد.) در مسير /stc/sysconfig/network-scripts/ با ابزار مورد دلخواه خود مورد ويرايش قرار دهيد.

[root@centos ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens32

HWADDR=00:0C:29:B3:B7:83

TYPE=Ethernet

BOOTPROTO=none

DEFROUTE=yes

PEERDNS=yes

PEERROUTES=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

IPV6_FAILURE_FATAL=no

NAME=ens32

UUID=782059b8-07f4-4948-8fca-8069f8bf0c14

ONBOOT=yes

IPADDR=192.168.20.1

NETMASK=255.255.255.0

GATEWAY=192.168.20.1

DNS=192.168.20.1

[root@centos ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens32

HWADDR=00:0C:29:B3:B7:83

TYPE=Ethernet

BOOTPROTO=none

DEFROUTE=yes

PEERDNS=yes

PEERROUTES=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

IPV6_FAILURE_FATAL=no

NAME=ens32

UUID=782059b8-07f4-4948-8fca-8069f8bf0c14

ONBOOT=yes

IPADDR=192.168.20.1

NETMASK=255.255.255.0

GATEWAY=192.168.20.1

DNS=192.168.20.1

همان طور كه مي بينيد اين فايل حاوي پارامتر هاي متفاوتي هست كه در اين نوشته برخي از آنها را مورد بررسي قرار خواهيم داد.

پارامتر BOOTPROTO: اين پارامتر در واقع مشخص كننده نحوه اختصاص آي پي و تنظيمات شبكه مي باشد اگر مقدار اين پارامتر برابر hdcp باشد يعني تنظيمات مربوط به شبكه از طريق DHCP در يافت خواهد شد اگر مقدار اين پارامتر برابر none باشد يعني تنظيمات مربوط به شبكه به صورت دستي تنظيم خواهد شد.

پارامتر ONBOOT: مقدار اين پارامتر بايد برابر yes باشد تا موقع بارگذاري سيستم عامل تنظيمات مربوط به شبكه اعمال شود.

پارامتر IPADDR: مقدار اين پارامتر مشخص كننده آدرس آي پي سرور مي باشد.

پارامتر NETMASK: مقدار اين پارامتر مشخص كننده دامنه شبكه مي باشد.

پارامتر GATEWAY: مقدار اين پارامتر مشخص كننده دروازه(gateway) مي باشد.

پارامتر DNS: مقدار اين پارامتر مشخص كننده آدرس DNS سرور مي باشد.

با انجام تنظيمات بالا نياز است تا سرويس network راه اندازي مجدد شود براي اين منظور از دستور زير استفاده كنيد.

[root@centos ~]# systemctl restart network

1	[root@centos ~]# systemctl restart network

3- اضافه كردن كاربر جديد

براي اضافه كردن كاربر جديد از دستور useradd به شكل زير استفاده كنيد.

[root@centos ~]# useradd taymaz

1	[root@centos ~]# useradd taymaz

براي تغيير رمز عبور كاربر از دستور passwd به شكل زير استفاده كنيد.

[root@centos ~]# passwd taymaz

Changing password for user taymaz.

New password:

Retype new password:

passwd: all authentication tokens updated successfully.

[root@centos ~]# passwd taymaz

Changing password for user taymaz.

New password:

Retype new password:

passwd: all authentication tokens updated successfully.

براي مشخص كردن اينكه چه كاربراني بتوانند به كاربر root تغيير كاربري بدهند ابتدا با دستور زير كاربر مورد نظر را عضو گروه wheel بنماييد.

[root@mcentos ~]# usermod -G wheel taymaz

1	[root@mcentos ~]# usermod -G wheel taymaz

سپس فايل /etc/pam.d/su را مورد ويرايش قرار داده و خط زير را از حالت comment خارج كنيد.

auth            required        pam_wheel.so use_uid

1	auth required pam_wheel.so use_uid

[root@mcentos ~]# vi /etc/pam.d/su

#%PAM-1.0

auth            sufficient      pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth           sufficient      pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

auth            required        pam_wheel.so use_uid

auth            substack        system-auth

auth            include         postlogin

account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet

account         include         system-auth

password        include         system-auth

session         include         system-auth

session         include         postlogin

session         optional        pam_xauth.so

[root@mcentos ~]# vi /etc/pam.d/su

#%PAM-1.0

auth sufficient pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth sufficient pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

auth required pam_wheel.so use_uid

auth substack system-auth

auth include postlogin

account sufficient pam_succeed_if.so uid = 0 use_uid quiet

account include system-auth

password include system-auth

session include system-auth

session include postlogin

session optional pam_xauth.so

4- فايروال و SElinux

براي غير فعال كردن فايروال به ترتيب از دستورات زير استفاده كنيد.

[root@centos ~]# systemctl stop firewalld

[root@centos ~]# systemctl disable firewalld

[root@centos ~]# systemctl stop firewalld

[root@centos ~]# systemctl disable firewalld

براي فعال كردن فايروال به ترتيب از دستورات زير استفاده كنيد.

[root@centos ~]# systemctl start firewalld

[root@centos ~]# systemctl enable firewalld

ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'

ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/basic.target.wants/firewalld.service'

[root@centos ~]# systemctl start firewalld

[root@centos ~]# systemctl enable firewalld

ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'

ln -s '/usr/lib/systemd/system/firewalld.service' '/etc/systemd/system/basic.target.wants/firewalld.service'

براي غير فعال كردن SElinux فايل /etc/selinux/config را مورد ويرايش قرار داده و مقدار پارامتر SELINUX را به disable تغيير دهيد.

[root@centos ~]# vi /etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing - SELinux security policy is enforced.

#     permissive - SELinux prints warnings instead of enforcing.

#     disabled - No SELinux policy is loaded.

SELINUX=disabled

# SELINUXTYPE= can take one of these two values:

#     targeted - Targeted processes are protected,

#     minimum - Modification of targeted policy. Only selected processes are protected.

#     mls - Multi Level Security protection.

SELINUXTYPE=targeted

[root@centos ~]# vi /etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

SELINUX=disabled

# SELINUXTYPE= can take one of these two values:

# targeted - Targeted processes are protected,

# minimum - Modification of targeted policy. Only selected processes are protected.

# mls - Multi Level Security protection.

SELINUXTYPE=targeted

براي فعال كردن SElinux فايل /etc/selinux/config را مورد ويرايش قرار داده و مقدار پارامتر SELINUX را به enforcing تغيير دهيد.

[root@centos ~]# vi /etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing - SELinux security policy is enforced.

#     permissive - SELinux prints warnings instead of enforcing.

#     disabled - No SELinux policy is loaded.

SELINUX= enforcing

# SELINUXTYPE= can take one of these two values:

#     targeted – Targeted processes are protected,

#     minimum – Modification of targeted policy. Only selected processes are protected.

#     mls – Multi Level Security protection.

SELINUXTYPE=targeted

[root@centos ~]# vi /etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced.

# permissive - SELinux prints warnings instead of enforcing.

# disabled - No SELinux policy is loaded.

SELINUX= enforcing

# SELINUXTYPE= can take one of these two values:

# targeted – Targeted processes are protected,

# minimum – Modification of targeted policy. Only selected processes are protected.

# mls – Multi Level Security protection.

SELINUXTYPE=targeted

بعد از اعمال تغييرات بالا با دستور reboot سرور را راه اندازي مجدد كنيد تا تغييرات اعمال شود.

5- TimeZone

براي نمايش TimeZone و يكسري مشخصات مربوط به زمان و تاريخ از دستور timedatectl به شكل زير استفاده كنيد.

[root@centos ~]# timedatectl

Local time: Mon 2014-10-06 13:45:23 IRST

Universal time: Mon 2014-10-06 10:15:23 UTC

RTC time: Mon 2014-10-06 10:15:25

Timezone: Asia/Tehran (IRST, +0330)

NTP enabled: n/a

NTP synchronized: no

RTC in local TZ: no

DST active: no

Last DST change: DST ended at

Sun 2014-09-21 23:59:59 IRDT

Sun 2014-09-21 23:00:00 IRST

Next DST change: DST begins (the clock jumps one hour forward) at

Sat 2015-03-21 23:59:59 IRST

Sun 2015-03-22 01:00:00 IRDT

[root@centos ~]# timedatectl

Local time: Mon 2014-10-06 13:45:23 IRST

Universal time: Mon 2014-10-06 10:15:23 UTC

RTC time: Mon 2014-10-06 10:15:25

Timezone: Asia/Tehran (IRST, +0330)

NTP enabled: n/a

NTP synchronized: no

RTC in local TZ: no

DST active: no

Last DST change: DST ended at

Sun 2014-09-21 23:59:59 IRDT

Sun 2014-09-21 23:00:00 IRST

Next DST change: DST begins (the clock jumps one hour forward) at

Sat 2015-03-21 23:59:59 IRST

Sun 2015-03-22 01:00:00 IRDT

براي نمايش ليست كامل TimeZone هاي سيستم از دستور timedatectl به شكل زير استفاده كنيد.

[root@centos ~]# timedatectl list-timezones

1	[root@centos ~]# timedatectl list-timezones

براي تغيير TimeZone فعلي سرور از دستور timedatectl به شكل زير استفاده كنيد.

[root@centos ~]# timedatectl set-timezone Asia/Tehran

1	[root@centos ~]# timedatectl set-timezone Asia/Tehran

6-به روز رساني سرور

براي به روز رساني سرور از دستور yum به شكل زير استفاده كنيد.

[root@centos ~]# yum -y update

1	[root@centos ~]# yum -y update

7- غير فعال كردن IPV6

براي غير فعال كردن IPV6 بايد ابتدا فايل /etc/sysctl.conf را مورد ويرايش قرار داده و خط زير را به آن اضافه كنيد.

net.ipv6.conf.all.disable_ipv6=1

[root@centos ~]# vi /etc/sysctl.conf

# System default settings live in /usr/lib/sysctl.d/00-system.conf.

# To override those settings, enter new settings here, or in an /etc/sysctl.d/<name>.conf file

#

# For more information, see sysctl.conf(5) and sysctl.d(5).

net.ipv6.conf.all.disable_ipv6=1

net.ipv6.conf.all.disable_ipv6=1

[root@centos ~]# vi /etc/sysctl.conf

# System default settings live in /usr/lib/sysctl.d/00-system.conf.

# To override those settings, enter new settings here, or in an /etc/sysctl.d/<name>.conf file

# For more information, see sysctl.conf(5) and sysctl.d(5).

net.ipv6.conf.all.disable_ipv6=1

توجه داشته باشد كه در خط بالا منظور از كلمه all يعني غير فعال كردن IPV6 براي كليه كارت هاي شبكه ها، در صورت نياز به غير فعال كردن IPV6 بر روي يك كارت شبكه خاص بايد نام كارت شبكه را به جاي all وارد كنيد به مثال زير توجه كنيد.

net.ipv6.conf.ens32.disable_ipv6=1

1	net.ipv6.conf.ens32.disable_ipv6=1

پس از اعمال تغييرات بر روي فايل sysctl.conf بايد دستور زير را اجرا كنيد.

[root@centos ~]# sysctl -p

net.ipv6.conf.all.disable_ipv6 = 1

[root@centos ~]# sysctl -p

net.ipv6.conf.all.disable_ipv6 = 1

8-نصب VMware Tools

با توجه به رشد زير ساخت هاي مجازي و استفاده از هايپروايزوها و محبوبيت زير ساخت هاي مجازي شركت VMware در اين مرحله قدم به قدم روش نصب VMware Tools را مورد بررسي قرار خواهيم داد.

در مرحله اول بايد سي دي مربوط به VMware Tools را Mount كنيد براي اين منظور دستورات زير را به ترتيب اجرا كنيد.

[root@centos ~]# mkdir /cdrom

[root@centos ~]# mount /dev/cdrom /cdrom

mount: /dev/sr0 is write-protected, mounting read-only

[root@centos ~]# mkdir /cdrom

[root@centos ~]# mount /dev/cdrom /cdrom

mount: /dev/sr0 is write-protected, mounting read-only

در مرحله دوم بايد فايل فشرده حاوي بسته هاي VMware Tools را با دستور زير از حالت فشرده خارج كنيد.

[root@centos ~]# tar -zxf /cdrom/VMwareTools-8.4.6-385536.tar.gz

1	[root@centos ~]# tar -zxf /cdrom/VMwareTools-8.4.6-385536.tar.gz

در مرحله آخر با ورود به شاخه vmware-tools-distrib اسكريپت نصب VMware Tools را با دستور زير اجرا كنيد.

[root@centos ~]# cd vmware-tools-distrib/

[root@centos vmware-tools-distrib]# ./vmware-install.pl –default

[root@centos ~]# cd vmware-tools-distrib/

[root@centos vmware-tools-distrib]# ./vmware-install.pl –default

توجه نماييد كه به هنگام نصب اين بسته ها، يكسري سوالات پرسيده مي شود كه با فرستادن پارامتر –default به اسكريپت نصب، از پرسيدن اين سوالات اجتناب مي شود و با مقادير پيش فرض فرآيند نصب تكميل مي شود در صورت نياز به تغيير دادن مقادير پيش فرض و جواب دادن به سوالات از فرستادن مقدار –default به اسكريپت نصب خودداري كنيد.

9-SSH

براي ايجاد محدوديت بر روي SSH كارهاي متفاوتي مي توان انجام داد ما در اين نوشته نخست كاربراني كه سطح دسترسي root را دارند را محدود مي كنيم سپس كاربراني كه اجازه دسترسي به سرور از طريق سرويس SSH را دارند را مشخص مي كنيم براي اعمال اين محدوديت هاي نياز است تا دو پارامتر زير در فايل /etc/ssh/sshd_config را مقداردهي كنيم.

PermitRootLogin: اين پارامتر مشخص مي كند كه كاربراني كه سطح دسترسي root را دارند مي توانند از طريق سرويس SSH به سرور وصل شوند يا نه، اگر مقدار اين پارامتر yes باشد كاربران با سطح دسترسي root مي توانند از طريق SSH به سرور وصل شوند اگر مقدار اين پارامتر no باشد اين اجازه به آنها داده نخواهد شد.

AllowUsers: مقدار اين پارامتر مشخص كننده ي كاربراني است كه مي توانند از طريق سرويس SSH به سرور متصل شوند.

[root@mcentos ~]# vi /etc/ssh/sshd_config

#KeyRegenerationInterval 1h

#ServerKeyBits 1024

# Ciphers and keying

#RekeyLimit default none

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

SyslogFacility AUTHPRIV

#LogLevel INFO

# Authentication:

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers taymaz admin

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

[root@mcentos ~]# vi /etc/ssh/sshd_config

#KeyRegenerationInterval 1h

#ServerKeyBits 1024

# Ciphers and keying

#RekeyLimit default none

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

SyslogFacility AUTHPRIV

#LogLevel INFO

# Authentication:

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers taymaz admin

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10