centos7 安装tftp(centos7安装软件选择)
大家好,感谢邀请,今天来为大家分享一下centos7 安装tftp的问题,以及和centos7安装软件选择的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
Linux centos7下ftp默认端口修改后firewalld如何设置
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。
FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon无法解析由 ip*tables和 ebtables命令行工具添加的防火墙规则。
守护进程通过 D-BUS提供当前激活的防火墙设置信息,也通过 D-BUS接受使用 PolicyKit认证方式做的更改。
“守护进程”
应用程序、守护进程和用户可以通过 D-BUS请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。
通过所谓的直接接口,其他的服务(例如 libvirt)能够通过 iptables变元(arguments)和参数(parameters)增加自己的规则。
amanda、ftp、samba和 tftp服务的 netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪连接信息很重要,需要列入考虑范围。
静态防火墙(system-config-firewall/lokkit)
使用 system-config-firewall和 lokkit的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。
firewall daemon独立于 system-config-firewall,但二者不能同时使用。
使用iptables和ip6tables的静态防火墙规则
如果你想使用自己的 iptables和 ip6tables静态防火墙规则,那么请安装 iptables-services并且禁用 firewalld,启用 iptables和ip6tables:
yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
静态防火墙规则配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables.
注: iptables与 iptables-services软件包不提供与服务配套使用的防火墙规则.这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的.你可以安装并使用 system-config-firewall来创建上述服务需要的规则.为了能使用 system-config-firewall,你必须停止 firewalld.
为服务创建规则并停用 firewalld后,就可以启用 iptables与 ip6tables服务了:
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service
什么是区域?
网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
预定义的服务
服务是端口和/或协议入口的组合。备选内容包括 netfilter助手模块以及 IPv4、IPv6地址。
端口和协议
定义了 tcp或 udp端口,端口可以是一个端口或者端口范围。
ICMP阻塞
可以选择 Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。
伪装
私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。
端口转发
端口可以映射到另一个端口以及/或者其他主机。
哪个区域可用?
由firewalld提供的区域按照从不信任到信任的顺序排序。
丢弃
任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞
任何进入的网络连接都被拒绝,并返回 IPv4的 icmp-host-prohibited报文或者 IPv6的 icmp6-adm-prohibited报文。只允许由该系统初始化的网络连接。
公开
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。(You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.)
外部
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
隔离区(dmz)
用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
工作
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
家庭
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
内部
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
受信任的
允许所有网络连接。
我应该选用哪个区域?
例如,公共的 WIFI连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。
如何配置或者增加区域?
你可以使用任何一种 firewalld配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config这样的图形界面工具, firewall-cmd这样的命令行工具,以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。@PREFIX@/lib/firewalld/zones被用于默认和备用配置,/etc/firewalld/zones被用于用户创建和自定义配置文件。
如何为网络连接设置或者修改区域
区域设置以 ZONE=选项存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空,firewalld将使用配置的默认区域。
如果这个连接受到 NetworkManager控制,你也可以使用 nm-connection-editor来修改区域。
由NetworkManager控制的网络连接
防火墙不能够通过 NetworkManager显示的名称来配置网络连接,只能配置网络接口。因此在网络连接之前 NetworkManager将配置文件所述连接对应的网络接口告诉 firewalld。如果在配置文件中没有配置区域,接口将配置到 firewalld的默认区域。如果网络连接使用了不止一个接口,所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager控制并应用到firewalld。
为了简化,自此,网络连接将被用作与区域的关系。
如果一个接口断开了,NetworkManager也将告诉firewalld从区域中删除该接口。
当firewalld由systemd或者init脚本启动或者重启后,firewalld将通知NetworkManager把网络连接增加到区域。
由脚本控制的网络
对于由网络脚本控制的连接有一条限制:没有守护进程通知 firewalld将连接增加到区域。这项工作仅在 ifcfg-post脚本进行。因此,此后对网络连接的重命名将不能被应用到firewalld。同样,在连接活动时重启 firewalld将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。
区域定义了本区域中防火墙的特性:
使用firewalld
你可以通过图形界面工具 firewall-config或者命令行客户端 firewall-cmd启用或者关闭防火墙特性。
使用firewall-cmd
命令行工具 firewall-cmd支持全部防火墙特性。对于状态和查询模式,命令只返回状态,没有其他输出。
一般应用
获取 firewalld状态
firewall-cmd--state
此举返回 firewalld的状态,没有任何输出。可以使用以下方式获得状态输出:
firewall-cmd--state&& echo"Running"|| echo"Not running"
在 Fedora 19中,状态输出比此前直观:
# rpm-qf$( which firewall-cmd)
firewalld-0.3.3-2.fc19.noarch# firewall-cmd--state
not running
在不改变状态的条件下重新加载防火墙:
firewall-cmd--reload
如果你使用–complete-reload,状态信息将会丢失。这个选项应当仅用于处理防火墙问题时,例如,状态信息和防火墙规则都正常,但是不能建立任何连接的情况。
获取支持的区域列表
firewall-cmd--get-zones
这条命令输出用空格分隔的列表。
获取所有支持的服务
firewall-cmd--get-services
这条命令输出用空格分隔的列表。
获取所有支持的ICMP类型
firewall-cmd--get-icmptypes
这条命令输出用空格分隔的列表。
列出全部启用的区域的特性
firewall-cmd--list-all-zones
输出格式是:
<zone>
interfaces:<interface1>..
services:<service1>..
ports:<port1>..
forward-ports:<forward port1>..
icmp-blocks:<icmp type1>....
输出区域<zone>全部启用的特性。如果生略区域,将显示默认区域的信息。
firewall-cmd [--zone=<zone>]--list-all
获取默认区域的网络设置
firewall-cmd--get-default-zone
设置默认区域
firewall-cmd--set-default-zone=<zone>
流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。
获取活动的区域
firewall-cmd--get-active-zones
这条命令将用以下格式输出每个区域所含接口:
<zone1>:<interface1><interface2>..<zone2>:<interface3>..
根据接口获取区域
firewall-cmd--get-zone-of-interface=<interface>
这条命令将输出接口所属的区域名称。
将接口增加到区域
firewall-cmd [--zone=<zone>]--add-interface=<interface>
如果接口不属于区域,接口将被增加到区域。如果区域被省略了,将使用默认区域。接口在重新加载后将重新应用。
修改接口所属区域
firewall-cmd [--zone=<zone>]--change-interface=<interface>
这个选项与–add-interface选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。
从区域中删除一个接口
firewall-cmd [--zone=<zone>]--remove-interface=<interface>
查询区域中是否包含某接口
firewall-cmd [--zone=<zone>]--query-interface=<interface>
返回接口是否存在于该区域。没有输出。
列举区域中启用的服务
firewall-cmd [--zone=<zone> ]--list-services
启用应急模式阻断所有网络连接,以防出现紧急状况
firewall-cmd--panic-on
禁用应急模式
firewall-cmd--panic-off
代码如下复制代码
应急模式在 0.3.0版本中发生了变化
在 0.3.0之前的 FirewallD版本中, panic选项是–enable-panic与–disable-panic.
查询应急模式
firewall-cmd--query-panic
此命令返回应急模式的状态,没有输出。可以使用以下方式获得状态输出:
firewall-cmd--query-panic&& echo"On"|| echo"Off"
处理运行时区域
运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。
启用区域中的一种服务
firewall-cmd [--zone=<zone>]--add-service=<service> [--timeout=<seconds>]
此举启用区域中的一种服务。如果未指定区域,将使用默认区域。如果设定了超时时间,服务将只启用特定秒数。如果服务已经活跃,将不会有任何警告信息。
例:使区域中的ipp-client服务生效60秒:
firewall-cmd--zone=home--add-service=ipp-client--timeout=60
例:启用默认区域中的http服务:
firewall-cmd--add-service=http
禁用区域中的某种服务
firewall-cmd [--zone=<zone>]--remove-service=<service>
此举禁用区域中的某种服务。如果未指定区域,将使用默认区域。
例:禁止home区域中的http服务:
firewall-cmd--zone=home--remove-service=http
区域种的服务将被禁用。如果服务没有启用,将不会有任何警告信息。
查询区域中是否启用了特定服务
firewall-cmd [--zone=<zone>]--query-service=<service>
如果服务启用,将返回1,否则返回0。没有输出信息。
启用区域端口和协议组合
firewall-cmd [--zone=<zone>]--add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]
此举将启用端口和协议的组合。端口可以是一个单独的端口<port>或者是一个端口范围<port>-<port>。协议可以是 tcp或 udp。
禁用端口和协议组合
firewall-cmd [--zone=<zone>]--remove-port=<port>[-<port>]/<protocol>
查询区域中是否启用了端口和协议组合
firewall-cmd [--zone=<zone>]--query-port=<port>[-<port>]/<protocol>
如果启用,此命令将有返回值。没有输出信息。
启用区域中的IP伪装功能
firewall-cmd [--zone=<zone>]--add-masquerade
此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。
禁用区域中的IP伪装
firewall-cmd [--zone=<zone>]--remove-masquerade
查询区域的伪装状态
firewall-cmd [--zone=<zone>]--query-masquerade
如果启用,此命令将有返回值。没有输出信息。
启用区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--add-icmp-block=<icmptype>
此举将启用选中的Internet控制报文协议(ICMP)报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文,以及错误应答。
禁止区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--remove-icmp-block=<icmptype>
查询区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--query-icmp-block=<icmptype>
如果启用,此命令将有返回值。没有输出信息。
例:阻塞区域的响应应答报文:
firewall-cmd--zone=public--add-icmp-block=echo-reply
在区域中启用端口转发或映射
firewall-cmd [--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口<port>或者是端口范围<port>-<port>。协议可以为 tcp或udp。目标端口可以是端口号<port>或者是端口范围<port>-<port>。目标地址可以是 IPv4地址。受内核限制,端口转发功能仅可用于IPv4。
禁止区域的端口转发或者端口映射
firewall-cmd [--zone=<zone>]--remove-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
查询区域的端口转发或者端口映射
firewall-cmd [--zone=<zone>]--query-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
CentOS7安装配置TFTP Server
TFTP(普通文件传输协议)是 FTP(文件传输协议)的轻量级版本,虽然缺乏高级功能,如内置安全性,但TFTP在许多场景下仍有其价值。例如,许多路由器和交换机使用TFTP来备份和恢复配置文件,而PXE、BOOTP等网络启动也依赖于TFTP。TFTP Server在UDP 69端口上运行。
环境准备:tftp-server安装配置
运行tftp-server有两种方式:
使用xinetd运行tftp-server
使用systemd独立运行tftp-server
安装tftp客户端测试
测试过程并不顺利,以下记录了失败的测试和成功的测试,以防止后期忘记。
测试结果显示,无论是上传还是下载,都无法成功。查阅了网上众多资料,但都没有提到类似情况。查看系统日志也没有发现任何报错。无奈之下,只能尝试各种方法,但都无效。在尝试了多种方法后,突然想到这两个服务器都是VMware的虚拟机,且都是NAT模式,如下所示:
突发奇想,这会不会与NAT模式有关。于是,将两台虚拟机都改为“桥接模式”,然后再次进行测试,结果竟然成功了。
参考文档:
linuxhint.com/install_tftp_server_centos7
freesion.com/article/15...
如何通过PXE实现一键自动化安装操作系统
因为之前的工作需要搭建红帽实验室环境,由于机器数量比较多,所有需要批量自动化无人值守安装系统,所以我尝试使用RHEL5+PXE+DHCP+Apache+Kickstart安装了RHCE5.1 i386实验室环境,并取得了成功,不过过程比较漫长,所以我特地记录下PXE+DHCP+Apache+Kickstart无人值守安装的过程。现阶段,由于需要大规模应用CentOS5.8 x86_64系统用于集群环境,所以将此方法主要用于在公司内网批量安装新服务器系统,这极大地简化了用光盘重复安装CentOS5.8 x86_64的过程,再加上分布式自动化运维工具puppet进行批量部署,达到了自动化运维的目的,避免了重复性劳动,极大的提高了工作效率。
首先,我们来介绍一下与之相关的原理和概念。
1.什么是PXE
严格来说,PXE并不是一种安装方式,而是一种引导方式。进行 PXE安装的必要条件是在要安装的计算机中必须包含一个 PXE支持的网卡(NIC),即网卡中必须要有 PXE Client。PXE(Pre-boot Execution Environment)协议可以使计算机通过网络启动。此协议分为 Client端和 Server端,而PXE Client则在网卡的 ROM中。当计算机引导时,BIOS把 PXE Client调入内存中执行,然后由 PXE Client将放置在远端的文件通过网络下载到本地运行。运行 PXE协议需要设置 DHCP服务器和 TFTP服务器。DHCP服务器会给 PXE Client(将要安装系统的主机)分配一个 IP地址,由于是给 PXE Client分配 IP地址,所以在配置 DHCP服务器时需要增加相应的 PXE设置。此外,在 PXE Client的 ROM中,已经存在了 TFTP Client,那么它就可以通过 TFTP协议到 TFTP Server上下载所需的文件了。
2.什么是Kickstart
Kickstart是一种无人值守的安装方式。它的工作原理是在安装过程中记录典型的需要人工干预填写的各种参数,并生成一个名为 ks.cfg的文件。如果在安装过程中(不只局限于生成Kickstart安装文件的机器)出现要填写参数的情况,安装程序首先会去查找 Kickstart生成的文件,如果找到合适的参数,就采用所找到的参数;如果没有找到合适的参数,便需要安装者手工干预了。所以,如果Kickstart文件涵盖了安装过程中可能出现的所有需要填写的参数,那么安装者完全可以只告诉安装程序从何处取ks.cfg文件,然后就去忙自己的事情。等安装完毕,安装程序会根据ks.cfg中的设置重启系统,并结束安装。
3. PXE+ Kickstart的安装条件和详细步骤
执行PXE+Kickstart安装需要的设备为:
DHCP服务器。
TFTP服务器。
Kickstart所生成的ks.cfg配置文件。
一台存放系统安装文件的服务器,如 NFS、HTTP或 FTP服务器。
一个带有 PXE支持网卡的主机。
系统环境绍如下:
服务器系统为CentOS 5.6 x86_64,IP为192.168.11.29(此服务器并非一定要限定为CentOS 5.8 x86_64系统),由于是最小化安装的,我们在后面要用到system-config-kickstart工具,它必须依赖于X windows,所以我们要提前安装好X windows及gnome并重启系统,步骤如下所示:
先装X windows和GNOME桌面环境,命令如下所示:
yum-y groupinstall'X Window System'
yum-y groupinstall'GNOME Desktop Environment'
然后修改/etc/inittab文件并重启服务器,使其运行在图形模式下,主要修改文件内容如下所示:
id:5:initdefault:
重启服务器命令如下:
reboot
完成上述的准备工作后,PXE+DHCP+Apache+Kickstart无人值守安装CentOS5.8安装的步骤如下:
(1)我们先下载CentOS5.8 x86_64光盘至/usr/local/src下,并挂载至/mnt/cdrom目录下,并确认系统已安装好httpd服务,如下:
cd/usr/local/src
wget//mirror.neu.edu.cn/CentOS/5.8/isos/x86_64/CentOS-5.8-x86_64-bin-DVD-1of2.iso
mkdir–p/mnt/cdrom
接下来我们挂载光盘ISO文件至/mnt/cdrom目录下,如下命令:
mount-o loop CentOS-5.8-x86_64-bin-DVD-1of2.iso/mnt/cdrom
CetnOS5.x x86_64系列已默认安装Apache,我们可以用命令看下其版本号,如下所示:
rpm-q httpd
命令显示结果如下所示:
httpd-2.2.3-65.el5.CentOS
(2)接下来我们复制光盘下的所有内容(文件和文件夹)到/var/html/www(此目录为Apache默认DocumentRoot目录)下,无论是红帽系统还是CentOS 5.x系统,如果是最小化安装,基本上第一张DVD光盘文件就够了,复制命令如下所示:
cp-rf/mnt/cdrom/var/html/www
(3)安装 tftp-server,并启用tftp服务,同时启动xinetd进程,步骤如下所示。
1.我们用命令安装tftp-server,命令如下:
yum-y install tftp-server
2.接着修改/etc/xinetd.d/tftp文件,将disable的值由yes变为no,内容如下所示:
3.接着重启xinetd进程,命令如下所示:
service xinetd restart
(4)配置支持PXE的启动程序(注意:前面已经将CentOS5.8 x86_64第一张光盘的内容复制到/var/www/html目录中了,所以需要的文件只需要从/var/www/html目录中复制就行了)。
a)建立tftpboot文件夹,如下所示,若该文件夹已经存在则不用建立。
mkdir-p/tftpboot
b)复制pxelinux.0文件至tftpboot文件夹中,如下所示。
cp/usr/lib/syslinux/pxelinux.0/tftpboot
c)把DVD光盘上的/image/pxeboot/initrd.img和vmlinux复制到/tftpboot/中,如下所示。
cp/var/www/html/images/pxeboot/vmlinuz/tftpboot
d)复制DVD光盘上的isolinux/*.msg到/tftpboot目录下,如下所示:
cp/var/www/html/isolinux/*.msg/tftpboot/
e)在tftpboot中新建一个pxelinux.cfg目录:
mkdir pxelinux.cfg
f)将isolinux目录中的isolinux.cfg复制到pxelinux.cfg目录中,同时更改文件名称为default,命令如下所示:
cd pxelinux.cfg
cp/var/www/html/isolinux/isolinux.cfg/tftpboot/pxelinux.cfg/default
g)在上一个步骤,即第6点中,暂时不要修改default文件,进行到这一步时,虽然已经可以通过网络来引导并手动安装Kickstart了,但是由于这里讨论的是无人值守安装,所以先不修改这个default文件。
(5)安装dhcp服务,同时修改如下配置:
yum–y install dhcp
然后复制配置模板文件到指定的目录中,并重新命名。
cp/usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample/etc/dhcpd.conf
接着修改/etc/dhcpd.conf配置文件,文件最后修改内容如下所示:
最后启动dhcp服务:
service dhcpd start
注:如果机器数量过多的话,注意dhcp服务器的地址池,不要因为耗尽IP而导致dhcpd服务器没有IP地址release情况。
(6)用yum工具自动安装Kickstart,同时配置system-config-kickstart。
a)首先我们需要安装Kickstart这个工具包,在CentOS最小化安装系统时,此软件包并没有默认安装,yum安装命令如下所示:
yum–y install system-config-kickstart
b)在gnome环境下配置Kickstart,命令如下所示:
system-config-Kickstart
运行上面的命令后可以对系统的一些基本配置进行设置,例如选择时区、设置root的密码等。
c)接下来便要进行安装了,建议选择httpd安装,切记不要输入任何账号,而是采用匿名安装。
在安装过程中,根据引导选择安装选项,不需要做更改。
d) Kickstart会让我们选择需要批量安装的CentOS5.8分区信息,按照上一节所介绍的CentOS5.5 x86_64的安装方法,我们创建四个分区,即/、/boot、/data和swap分区。
e)在进行网络配置时,我使用的静态分配地址(动态同样如此),这里跟前面进行光盘安装是一样的。
f)设置显示配置时可以按照我们的习惯选择。
g)关于软件包的选择,大家可以根据实际的工作需求来选择自己需要的软件包,由于服务器安装后用途都是不一样的,建议大家这里选择最小化安装。
h)其他都选择默认设置,不需要修改。
i)最后将生成的文件ks.cfg保存到/var/www/html下,此为自动化无人值守安装的重难点,此文件稍有配置不当的话就会需要人为干预了,如果大家遇到问题,建议参考我下面的ks.cfg配置文件。
(7)修改/tftpboot/pxelinux.cfg/default文件,指定读取ks.cfg的方法,即修改文件第一行内容,改动后文件第一行内容如下所示:
default text ks=192.168.11.29/ks.cfg
另外,也建议将timeout时间由原先的600改为1,timeout时间是引导时等待用户手动选择的时间,设为“1”可直接引导。
(8)/var/www/html/ks.cfg文件内容如下所示(此内容是整个实验过程的重难点,请关注):
此配置过程中的重难点我这里说明下:
分区操作按照目前线上分区来操作,即分成/、/boot、/data及swap四个分区,其中/data分区是存放数据的,我们这里用--grow--size=1参数来将其余的剩余空间全部分配给/data分区。
key--skip如果是红帽系统,此选项可以跳过输入序列号过程;如果是CentOS 5.x系列,则可以不保留此项内容;
reboot此选项必须存在,也必须文中设定位置,不然kickstart显示一条消息,并等待用户按任意键后才重新引导,此问题是很多朋友在论坛上发言提问的,我在实验过程中也遇到此问题,建议多做几次实验;
clearpart--all--initlabel此条命令必须添加,不然系统会让用户手动选择是否清除所有数据,这就需要人为干预了,从而导致自动化过程失败;
其它方面选项较容易看懂,我这里就不再重复了。
(9)将Kickstart需要的服务器均启动后,此自动化安装系统的过程就完成了,我们就可以在内网机柜中全自动同时安装CentOS5.8 x86_64系统了,服务器端启动相应命令如下:
service httpd start
chkconfig httpd on
service dhcpd start
chkconfig dhcpd on
service xinetd restart
系统完成最小化后安装后,大家可以根据自己公司的实际情况来进行系统的优化,此最小化优化脚本init.sh还可以让puppet服务器进行推送,此脚本内容如下所示:
注意:
#tune kernel parametres为内核优化部分,在这里我只做了基础处理,大家有需求可以自行修改,记住:一切以系统稳定为原则。
#vim setting选项为vim的个性化配置,如果想vim语法高亮,则必须安装vim-enhanced包,另外,vim在使用搜索功能,搜索选中内容为高亮,感觉不是特别舒服,所以我这里用了set nohlsearch选项,如果大家不介意此项功能,则不需要添加此语句;
#disable ipv6选项我在测试时发现,在CentOS5.8 x86_64系统下,如果不添加install ipv6/bin/true此语句到/etc/modprobe.conf文件里,是关闭不了ipv6选项的,而测试的CentOS5.5| 5.6不添加此句均可以顺利关闭ipv6,这点请大家注意,当然了,最后要reboot系统让此配置生效。
引申:相信大家的开发环境应该有不少Xen虚拟机,虽然Xen有自身的模板文件操作,但我们也可以利用Kickstart的方式快速无人值守安装Xen虚拟机系统,命令如下所示:
virt-install-n vm4-r 300-f/data/vm/vm4.img-s 8-p-l-x ks=192.168.11.29/ks.cfg
我们单位有个叫noc-ps的服务器,可以通过他自动安装各种操作系统,把镜像都做好,可以像给任务一样都完全自动化,比PXE还简单,原本是一个老员工做的,他走了,老板让我现在做一个功能就是让他能自动破解windows密码,我只会家里平时用用GHOST里的工具去破解,赛光盘直接进软件然后选择磁盘的sam文件,但是通过noc-ps我就不是很清楚,老板叫我做个WINPE,然后通过脚本方式实现,既然是winpe我想论坛很多GHOST系统里开机都有WINPE的,我猜想把这个系统镜像里的系统GHOST文件去除,减少点容量,然后想办法通过NOC-PS引导到像家里光驱启动一样的界面,让他自己进入WINPE,然后系统启动后自动让他执行破解软件的脚本,不知道是这样否,现在我把系统镜像上传上去,引导就是引导不起来,不知道论坛下载的ISO文件本身带自己引导吗?因为我通常把ISO放到虚拟机里CD/DVD光驱,虚拟机只要按运行虚拟机自动会启动的,不知道NOC-ps是不是要我手工把ISO这个文件制作成带启动功能的,请大侠指点我
