LINUX系统工程师技术(Engineer)-------第一天

? Security-Enhanced Linux-----相当于一个保安

– 美国NSA国家安全局主导开发,一套增强Linux系统安

全的强制访问控制体系

– 集成到Linux内核(2.6及以上)中运行

– RHEL7基于SELinux体系针对用户、进程、目录和文件

提供了预设的保护策略,以及管理工具

? SELinux的运行模式

– enforcing(强制)、permissive(宽松)

– disabled(彻底禁用)

[[email protected] ~]# getenforce ? ? #查看当前SELinux状态

?Enforcing

[[email protected] ~]# setenforce 0 ? #设置当前SELinux状态

[[email protected] ~]# getenforce?

?Permissive

固定配置:

[[email protected] ~]# vim /etc/selinux/config?

SELINUX=permissive

? 补充:vim ?命令模式 ??

? ? ? ? ? ? C(大写):删除光标之后到行尾,并且进入插入模式

#####################################################

?配置聚合连接(网卡绑定)

? ? HSRP ? 备份网关设备?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?路由器1 ? ? ? ? ? ? 路由器2

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 192.168.1.254 ? ? 192.168.1.253

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 活跃 ? ? ? ? ? ? ? ? ? ? 备份

? ? ?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?虚拟路由器

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?192.168.1.200

? ? ??

? ? ? ?聚合连接 ?备份网卡设备?

? ? ? ? ? ? ? ? ? ? ? eth1 ? ? ? ? ? ?eth2

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? team

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 192.168.1.10

? team,聚合连接(也称为链路聚合)

– 由多块网卡(team-slave)一起组建而成的虚拟网卡,

即“组队”

– 作用1:轮询式(roundrobin)的流量负载均衡

– 作用2:热备份(activebackup)连接冗余

? ? 热备份配置 : ? ?{"runner":{"name":"activebackup"}}

? ? ? ? ? man帮助辅助记忆

? ? ? ? ? /example ? ?#全文查找example

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #按n 跳转下一个匹配

[[email protected] ~]# man teamd.conf

? ? ? ? ? /example ? #全文查找example

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #按n 跳转下一个匹配

一、添加team团队设备

# nmcli connection add type team?

con-name team0 ?ifname ?team0?

config ?{"runner":{"name":"activebackup"}}

# cat /etc/sysconfig/network-scripts/ifcfg-team0

# ifconfig ?team0

二、添加成员

# nmcli connection add type team-slave?

ifname eth1 master team0?

# nmcli connection add type team-slave?

ifname eth2 master team0

三、配置team0的IP地址

# nmcli connection modify team0 ? ? ??

?ipv4.method manual?

?ipv4.addresses 192.168.1.1/24 ? ??

?connection.autoconnect yes

四、激活team0

# nmcli connection up team-slave-eth1 ? #激活从设备eth1

# nmcli connection up team-slave-eth2 ? #激活从设备eth2

# nmcli connection up team0 ? ? ? ? ? ?#激活主设备team0 ? ?

五、验证

# teamdctl team0 state ? ?#专用于查看team信息

删除

# nmcli connection delete team-slave-eth1?

# nmcli connection delete team-slave-eth2

# nmcli connection delete team0

#####################################################

?配置IPv6地址

? IPv6 地址表示

– 128个二进制位,冒号分隔的十六进制数

– 每段内连续的前置 0 可省略、连续的多个 : 可简化为 ::

# nmcli connection modify ‘System eth0‘?

ipv6.method manual?

ipv6.addresses 2003:ac18::305/64?

connection.autoconnect yes

# nmcli connection up ‘System eth0‘

# ifconfig eth0

# ping6 ?2003:ac18::305

###################################################

alias别名设置

? 查看已设置的别名

– alias [别名名称]

? 定义新的别名

– alias 别名名称= ‘实际执行的命令行‘

? 取消已设置的别名

– unalias [别名名称]

用户个性化配置文件

? 影响指定用户的 bash 解释环境

– ~/.bashrc,每次开启 bash 终端时生效

全局环境配置

? 影响所有用户的 bash 解释环境

– /etc/bashrc,每次开启 bash 终端时生效

[[email protected] ~]# vim /root/.bashrc ? ? ?#影响root文件

? ? alias hello=‘echo hello‘ ?

[[email protected] ~]# vim /home/student/.bashrc #影响student文件

? ? alias hi=‘echo hi‘ ?

[[email protected] ~]# vim /etc/bashrc ? ?#全局配置文件 ? ? ? ?

? ? alias haha=‘echo xixi‘

? 退出远程登陆,从新远程server0验证

[[email protected] ~]# hello ? ? ? ?#成功

[[email protected] ~]# hi ? ? ? ? ? #失败

[[email protected] ~]# haha ? ? ? ? #成功

[[email protected] ~]# su - student

[[email protected] ~]$ hello ? ? ?#失败

[[email protected] ~]$ hi ? ?#成功

[[email protected] ~]$ haha ? ? ? #成功

[[email protected] ~]$ exit

####################################################

?防火墙策略管理(firewall)

?一、搭建基本Web服务

? 服务端: ?httpd(软件)

? 1.server0上安装httpd软件

? 2.server0启动httpd服务,设置开机自起

? ? 默认情况下:Apache没有提供任何页面

? ? 默认Apache网页文件存放路径:/var/www/html

? ? 默认Apache网页文件名称:index.html

[[email protected] ~]# systemctl restart httpd

[[email protected] ~]# systemctl enable httpd

[[email protected] ~]# vim /var/www/html/index.html

?<marquee><font color=green><h1>My First Web

[[email protected] ~]# firefox 172.25.0.11

二、FTP服务的搭建

? 服务端: ?vsftpd(软件)

? 1.server0上安装 vsftpd软件

? 2.server0启动 vsftpd服务,设置开机自起

? ? ?默认共享的位置:/var/ftp

测试

[[email protected] ~]# firefox ftp://172.25.0.11

? ?

###################################################

?防火墙策略管理(firewall)

? ?作用:隔离---------------允许出站,阻止入站

? ? ? ? ? ? 阻止入站,允许出站

? ? 系统服务:firewalld

? ? 管理工具:firewall-cmd(命令)、firewall-config(图形)

?查看防火墙服务状态

[[email protected] ~]# systemctl status firewalld.service

? 根据所在的网络场所区分,预设保护规则集

– public:仅允许访问本机的sshd等少数几个服务

– trusted:允许任何访问

– block:拒绝任何来访请求

– drop:丢弃任何来访的数据包

?防火墙判断的规则:匹配及停止

? 1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于改IP地址的策略,如果有则该请求进入该区域

? 2.进入默认区域

虚拟机desktop0:

# firefox http://172.25.0.11 ?#访问失败

# firefox ftp://172.25.0.11 ? #访问失败

虚拟机server0:

# firewall-cmd --get-default-zone ? ? ? ?#查看默认区域

# firewall-cmd --zone=public --list-all?

# firewall-cmd --zone=public --add-service=http #添加服务

# firewall-cmd --zone=public --list-all ? #查看区域规则信息

虚拟机desktop0:

# firefox http://172.25.0.11 ?#访问成功

# firefox ftp://172.25.0.11 ? #访问失败

虚拟机server0:

# firewall-cmd --zone=public --add-service=ftp

# firewall-cmd --zone=public --list-all?

虚拟机desktop0:

# firefox ftp://172.25.0.11 ? #访问成功

#####################################################

? --permanent选项:实现永久设置

虚拟机server0:

# firewall-cmd --reload ? #重新加载防火墙

# firewall-cmd --zone=public --list-all?

# firewall-cmd --permanent --zone=public ?--add-service=ftp

# firewall-cmd --permanent --zone=public --add-service=http

# firewall-cmd --reload ? #重新加载防火墙

# firewall-cmd --zone=public --list-all?

####################################################

?修改默认的区域,不需要加上--permanent

虚拟机desktop0:

# ping 172.25.0.11 ? ? #可以通信

虚拟机server0:

# firewall-cmd --set-default-zone=block ? #修改默认区域

# firewall-cmd --get-default-zone ? ? ? ? #查看默认区域

虚拟机desktop0:

# ping 172.25.0.11 ? #不可以通信

虚拟机server0:

# firewall-cmd --set-default-zone=drop?

# firewall-cmd --get-default-zone

虚拟机desktop0:

# ping 172.25.0.11 ? #通信无反馈

######################################################

虚拟机server0:?

# firewall-cmd --permanent --zone=public --add-source=172.25.0.10

# firewall-cmd --zone=public --list-all?

# firewall-cmd --reload?

# firewall-cmd --zone=public --list-all

虚拟机desktop0:

# firefox http://172.25.0.11

##################################################

实现本机的端口映射

? 本地应用的端口重定向(端口1 --> 端口2)

– 从客户机访问 端口1 的请求,自动映射到本机 端口2

– 比如,访问以下两个地址可以看到相同的页面:

虚拟机desktop0:

# firefox http://172.25.0.11:5423-------》172.25.0.11:80

虚拟机server0:?

# firewall-cmd --permanent --zone=public?

--add-forward-port=port=5423:proto=tcp:toport=80?

# firewall-cmd --reload?

# firewall-cmd --zone=public --list-all

虚拟机desktop0:?

# firefox http://172.25.0.11:5423

时间: 2024-11-13 06:40:02

LINUX系统工程师技术(Engineer)-------第一天的相关文章

LINUX系统工程师技术(Engineer)-------第四天

两台虚拟机,均要检测 1. Yum是否可用 2. ?防火墙默认区域修改为trusted 3. IP地址是否配置 #################################################### ? samba 文件共享(共享文件夹) ? Samba 软件项目 – 用途:为客户机提供共享使用的文件夹 – 协议:SMB(TCP 139).CIFS(TCP 445) ? 所需软件包:samba ? 系统服务:smb 一.搭建基本samba服务 1.安装samba软件包 2.创建

LINUX系统工程师技术(Engineer)-------第五天

两台虚拟机,均要检测 1. Yum是否可用 2. ?防火墙默认区域修改为trusted 3. IP地址是否配置 ####################################################### 二.普通用户(必须还原环境) ?? ? ? ?客户端普通用户访问服务端nfs-server服务, ? ? ?服务端会以客户端相同UID身份的本地用户进行权限判定 ? ? LDAP : ?网络用户,提供用户名 ? ? kerberos : 密码验证,实现"一次密码认证,多次免密

LINUX系统工程师技术(Engineer)-------第二天

两台虚拟机,均修改防火器与主机名 防火墙将原来的----------public状态---------修改成-------trusted状态 虚拟机server0: # firewall-cmd --set-default-zone=trusted? # echo server0.example.com ?> ?/etc/hostname # cat /etc/hostname 虚拟机desktop0: # firewall-cmd --set-default-zone=trusted? # e

LINUX系统工程师技术(Engineer)-------第三天

两台虚拟机,均要检测 1.IP地址 2.是否可以解析,server0.example.com 3.Yum是否可用 4.防火墙默认区域修改为trusted #################################################### ? 基于 B/S (Browser/Server)架构的网页服务 – 服务端提供网页 – 浏览器下载并显示网页 ? Hyper Text Markup Language,超文本标记语言---------------html ? Hyper

如何增强 Linux 系统的安全性,第一部分: Linux 安全模块(LSM)简介

http://www.ibm.com/developerworks/cn/linux/l-lsm/part1/ 1.相关背景介绍:为什么和是什么 近年来Linux系统由于其出色的性能和稳定性,开放源代码特性带来的灵活性和可扩展性,以及较低廉的成本,而受到计算机工业界的广泛关注和应用.但在安全性方面,Linux内核只提供了经典的UNIX自主访问控制(root用户,用户ID,模式位安全机制),以及部分的支持了POSIX.1e标准草案中的capabilities安全机制,这对于Linux系统的安全性是

关于kali linux系统的简单工具——第一单元(后续会更新)

Linux系统中关于几个重要目录的原英文解释: /etc/: Contains configuration files of the installed tools /opt/: Contains Metasploit and its relevant modules /sys/: Contains configuration files of external hardware and interfaces /root/: It is the root user directory /lib/

【Linux】 经典Linux系统工程师面试题(转载)

1.如何将本地80端口的请求转发到8080端口,当前主机IP为192.168.16.1,其中本地网卡eth0: 答: # iptables -t nat -A PREROUTING -d 192.168.16.1 -p tcp --dport 80 -j DNAT --to 192.168.16.1:8080 或 者: # iptables -t nat -A PREROUTING -i eth0 -d 192.168.16.1 -p tcp -m tcp --dport 80 -j REDIR

Linux系统工程师学习方法

学习顺序: 一.至少熟悉一种嵌入式芯片架构 最适合初学者的就是arm芯片 二.uboot的使用与移植 首先要了解uboot的启动流程,根据启动顺序,进行代码的修改.编译与移植 三.linux驱动开发 主要参考两本书:<Linux设备驱动程序> <Linux设备驱动开发详解> 第一本书讲理论,第二本讲实践. 在学驱动开发的时候,会涉及许多内核知识(例如内核定时器.内核链表.并发等),首先先学会使用,千万不要去看它们的实现.并且在看驱动的时候,用到那部分知识,再去查看相关的运用. 四.

Linux系统扫描技术

主机扫描命令fping 批量的给目标主机发送ping请求,并行发送(ICMP) fping安装: ① wget http://fping.org/dist/fping-3.10.tar.gz ② tar -zxvf fping-3.10.tar.gz ③ cd fping-3.10 ; ./configure ④ make && make install fping -v   #测试安装是否成功 fping -h   #获取帮助 fping常用参数介绍: -a  #只显示出存活的主机(相反