今天給大家分享的文章是一篇關(guān)于服務(wù)器安裝的文章，作者在將服務(wù)器放在內(nèi)網(wǎng)之后通過(guò)堡壘機(jī)和外界相連，在這個(gè)過(guò)程中遇到一些問(wèn)題并將其解決，很適合大家學(xué)習(xí)。

最近幫實(shí)驗(yàn)室裝了兩臺(tái)服務(wù)器，計(jì)算用的服務(wù)器放在內(nèi)網(wǎng)，通過(guò)一臺(tái)堡壘機(jī)與外界相連。碰到很多小問(wèn)題，在這里記錄一下。

組建內(nèi)網(wǎng)

這一部分沒(méi)有太多好說(shuō)的，堡壘機(jī)需要有兩塊網(wǎng)卡，一塊對(duì)外一塊對(duì)內(nèi)，內(nèi)網(wǎng)服務(wù)器一塊就夠了。組網(wǎng)的時(shí)候根據(jù)情況可以手工指定IP也可以DHCP。如果內(nèi)網(wǎng)只有一臺(tái)機(jī)器的話可以找一根網(wǎng)線直連兩臺(tái)機(jī)器，如果機(jī)器多的話還是買(mǎi)個(gè)路由器吧，最好找高級(jí)一點(diǎn)的，可定制的功能多一點(diǎn)，否則會(huì)很坑。

端口轉(zhuǎn)發(fā)

從外面訪問(wèn)內(nèi)網(wǎng)服務(wù)器的時(shí)候有三種方法：

1. 最簡(jiǎn)單的辦法是先ssh到堡壘機(jī)，再ssh到內(nèi)網(wǎng)的服務(wù)器。這樣做的問(wèn)題是需要同時(shí)在堡壘機(jī)和內(nèi)網(wǎng)服務(wù)器上創(chuàng)建賬號(hào)，而有的時(shí)候我們并不希望用戶訪問(wèn)堡壘機(jī)，堡壘機(jī)對(duì)用戶應(yīng)該是透明的。
2. 第二種辦法是ssh隧道，我們可以通過(guò)堡壘機(jī)建立隧道，把外面的請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。但建立隧道本身也比較麻煩。?這篇博客?對(duì)于ssh隧道講得非常清楚。
3. 最方便解決辦法就是端口轉(zhuǎn)發(fā)：將堡壘機(jī)上的端口與內(nèi)網(wǎng)服務(wù)器需要訪問(wèn)的端口建立映射關(guān)系，例如將堡壘機(jī)的1234端口映射到內(nèi)網(wǎng)服務(wù)器的22端口，這時(shí)?ssh -p 1234 <bastion server IP>?實(shí)際登錄到的就是內(nèi)網(wǎng)服務(wù)器。端口轉(zhuǎn)發(fā)的本質(zhì)是把堡壘機(jī)當(dāng)成了路由器。這篇博客對(duì)于端口映射講得非常清楚。

時(shí)間校準(zhǔn)

一個(gè)與世隔絕的服務(wù)器時(shí)間往往不準(zhǔn)，有時(shí)候是設(shè)置問(wèn)題，有時(shí)候是BIOS上的時(shí)鐘本來(lái)就不準(zhǔn)。想要校準(zhǔn)的話，最方便的當(dāng)然是手工設(shè)置，但這樣無(wú)法保證精度，而且過(guò)一段時(shí)間可能又會(huì)產(chǎn)生偏差。比較好的辦法是用NTP在線校準(zhǔn)時(shí)間，但是內(nèi)網(wǎng)無(wú)法訪問(wèn)公共NTP服務(wù)器。這時(shí)可以把堡壘機(jī)配置成一個(gè)NTP server，然后讓內(nèi)網(wǎng)的服務(wù)器都跟堡壘機(jī)校準(zhǔn)。

當(dāng)然我們也可以給內(nèi)網(wǎng)服務(wù)器指定一個(gè)網(wǎng)關(guān)（堡壘機(jī)），然后打開(kāi)堡壘機(jī)的轉(zhuǎn)發(fā)功能，這樣內(nèi)網(wǎng)服務(wù)器就可以直接上網(wǎng)了。但有時(shí)候我們并不想這么做。

用戶管理

用戶管理涉及到批量添加/刪除用戶，用戶分組，權(quán)限控制，磁盤(pán)限額，限時(shí)登錄等等。

批量添加/刪除用戶

下面是我寫(xiě)的一個(gè)小腳本，需要讀取一個(gè)記載了用戶名和登錄密碼的文本文件，然后依次創(chuàng)建每一個(gè)用戶。

需要注意，通過(guò)?useradd?的?-p?參數(shù)指定密碼時(shí)候一定要給出crypt加密后的密碼，不是原始密碼。在CentOS 7上，crypt加密后的密碼可以由?openssl passwd -crypt $password?生成，?$password?代表原始密碼。?mkpasswd?這個(gè)命令似乎也可以。

限制用戶磁盤(pán)空間

在前面的腳本里也看到了，可以通過(guò)?quota?命令限制每個(gè)用戶（或每個(gè)用戶組）使用的磁盤(pán)空間。但如果你的文件系統(tǒng)是xfs，就需要用?xfs_quota?。為了支持磁盤(pán)限額，首先內(nèi)核要足夠新（Linux 2.4以上），其次分區(qū)掛載的時(shí)候需要加上?usrquota?和?grpquota?兩個(gè)參數(shù)（在?/etc/fstab?里）。

限制用戶登錄時(shí)間

我們的服務(wù)器是教學(xué)用的，學(xué)生可以通過(guò)預(yù)約獲得使用權(quán)限。我們需要控制學(xué)生只能在預(yù)約的時(shí)間段登錄，這個(gè)時(shí)間段之外，不僅不能登錄，如果有這個(gè)用戶的進(jìn)程還要?dú)⒌?。限制用戶登錄時(shí)間有很多辦法，例如寫(xiě)一個(gè)crontab，預(yù)約時(shí)間結(jié)束就用?passwd?或者?usermod?把用戶賬戶置為鎖定狀態(tài)，到下一次預(yù)約時(shí)間再解鎖。但這樣相當(dāng)于一次預(yù)約要寫(xiě)兩行crontab，對(duì)于我這種懶人很不友好。

我選擇的辦法是用PAM里的時(shí)間模塊，這種辦法首先要編輯?/etc/security/time.conf?，在里面寫(xiě)入允許（或禁止）用戶登錄的時(shí)間，然后再編輯?/etc/pam.d/login?在?auth?條目后加入?account required pam_time.so?。這種辦法有一個(gè)局限，只能指定周幾，不能指定具體的日期。不過(guò)我們的預(yù)約正好也是以周為單位，所以無(wú)所謂了。

殺死某個(gè)用戶的所有進(jìn)程

有兩個(gè)方便的命令?killall?和?pkill?。當(dāng)然也可以用?ps?、?grep?、?kill?等命令組合起來(lái)，實(shí)現(xiàn)更復(fù)雜的功能。