LINUX系統工程師技術(Engineer)-------第一天
? Security-Enhanced Linux-----相當於一個保安
– 美國NSA國家安全局主導開發,一套增強Linux系統安
全的強制訪問控制體系
– 集成到Linux內核(2.6及以上)中運行
– RHEL7基於SELinux體系針對用戶、進程、目錄和文件
提供了預設的保護策略,以及管理工具
? SELinux的運行模式
– enforcing(強制)、permissive(寬松)
– disabled(徹底禁用)
[root@server0 ~]# getenforce ? ? #查看當前SELinux狀態
?Enforcing
[root@server0 ~]# setenforce 0 ? #設置當前SELinux狀態
[root@server0 ~]# getenforce?
?Permissive
固定配置:
[root@server0 ~]# vim /etc/selinux/config?
SELINUX=permissive
? 補充:vim ?命令模式 ??
? ? ? ? ? ? C(大寫):刪除光標之後到行尾,並且進入插入模式
#####################################################
?配置聚合連接(網卡綁定)
? ? HSRP ? 備份網關設備?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?路由器1 ? ? ? ? ? ? 路由器2
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 192.168.1.254 ? ? 192.168.1.253
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 活躍 ? ? ? ? ? ? ? ? ? ? 備份
? ? ?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?虛擬路由器
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?192.168.1.200
? ? ??
? ? ? ?聚合連接 ?備份網卡設備?
? ? ? ? ? ? ? ? ? ? ? eth1 ? ? ? ? ? ?eth2
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? team
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 192.168.1.10
? team,聚合連接(也稱為鏈路聚合)
– 由多塊網卡(team-slave)一起組建而成的虛擬網卡,
即“組隊”
– 作用1:輪詢式(roundrobin)的流量負載均衡
– 作用2:熱備份(activebackup)連接冗余
? ? 熱備份配置 : ? ?{"runner":{"name":"activebackup"}}
? ? ? ? ? man幫助輔助記憶
? ? ? ? ? /example ? ?#全文查找example
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #按n 跳轉下一個匹配
[root@server0 ~]# man teamd.conf
? ? ? ? ? /example ? #全文查找example
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #按n 跳轉下一個匹配
一、添加team團隊設備
# nmcli connection add type team?
con-name team0 ?ifname ?team0?
config ?{"runner":{"name":"activebackup"}}
# cat /etc/sysconfig/network-scripts/ifcfg-team0
# ifconfig ?team0
二、添加成員
# nmcli connection add type team-slave?
ifname eth1 master team0?
# nmcli connection add type team-slave?
ifname eth2 master team0
三、配置team0的IP地址
# nmcli connection modify team0 ? ? ??
?ipv4.method manual?
?ipv4.addresses 192.168.1.1/24 ? ??
?connection.autoconnect yes
四、激活team0
# nmcli connection up team-slave-eth1 ? #激活從設備eth1
# nmcli connection up team-slave-eth2 ? #激活從設備eth2
# nmcli connection up team0 ? ? ? ? ? ?#激活主設備team0 ? ?
五、驗證
# teamdctl team0 state ? ?#專用於查看team信息
刪除
# nmcli connection delete team-slave-eth1?
# nmcli connection delete team-slave-eth2
# nmcli connection delete team0
#####################################################
?配置IPv6地址
? IPv6 地址表示
– 128個二進制位,冒號分隔的十六進制數
– 每段內連續的前置 0 可省略、連續的多個 : 可簡化為 ::
# nmcli connection modify ‘System eth0‘?
ipv6.method manual?
ipv6.addresses 2003:ac18::305/64?
connection.autoconnect yes
# nmcli connection up ‘System eth0‘
# ifconfig eth0
# ping6 ?2003:ac18::305
###################################################
alias別名設置
? 查看已設置的別名
– alias [別名名稱]
? 定義新的別名
– alias 別名名稱= ‘實際執行的命令行‘
? 取消已設置的別名
– unalias [別名名稱]
用戶個性化配置文件
? 影響指定用戶的 bash 解釋環境
– ~/.bashrc,每次開啟 bash 終端時生效
全局環境配置
? 影響所有用戶的 bash 解釋環境
– /etc/bashrc,每次開啟 bash 終端時生效
[root@server0 ~]# vim /root/.bashrc ? ? ?#影響root文件
? ? alias hello=‘echo hello‘ ?
[root@server0 ~]# vim /home/student/.bashrc #影響student文件
? ? alias hi=‘echo hi‘ ?
[root@server0 ~]# vim /etc/bashrc ? ?#全局配置文件 ? ? ? ?
? ? alias haha=‘echo xixi‘
? 退出遠程登陸,從新遠程server0驗證
[root@server0 ~]# hello ? ? ? ?#成功
[root@server0 ~]# hi ? ? ? ? ? #失敗
[root@server0 ~]# haha ? ? ? ? #成功
[root@server0 ~]# su - student
[student@server0 ~]$ hello ? ? ?#失敗
[student@server0 ~]$ hi ? ?#成功
[student@server0 ~]$ haha ? ? ? #成功
[student@server0 ~]$ exit
####################################################
?防火墻策略管理(firewall)
?一、搭建基本Web服務
? 服務端: ?httpd(軟件)
? 1.server0上安裝httpd軟件
? 2.server0啟動httpd服務,設置開機自起
? ? 默認情況下:Apache沒有提供任何頁面
? ? 默認Apache網頁文件存放路徑:/var/www/html
? ? 默認Apache網頁文件名稱:index.html
[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd
[root@server0 ~]# vim /var/www/html/index.html
?<marquee><font color=green><h1>My First Web
[root@server0 ~]# firefox 172.25.0.11
二、FTP服務的搭建
? 服務端: ?vsftpd(軟件)
? 1.server0上安裝 vsftpd軟件
? 2.server0啟動 vsftpd服務,設置開機自起
? ? ?默認共享的位置:/var/ftp
測試
[root@server0 ~]# firefox ftp://172.25.0.11
? ?
###################################################
?防火墻策略管理(firewall)
? ?作用:隔離---------------允許出站,阻止入站
? ? ? ? ? ? 阻止入站,允許出站
? ? 系統服務:firewalld
? ? 管理工具:firewall-cmd(命令)、firewall-config(圖形)
?查看防火墻服務狀態
[root@server0 ~]# systemctl status firewalld.service
? 根據所在的網絡場所區分,預設保護規則集
– public:僅允許訪問本機的sshd等少數幾個服務
– trusted:允許任何訪問
– block:拒絕任何來訪請求
– drop:丟棄任何來訪的數據包
?防火墻判斷的規則:匹配及停止
? 1.首先看請求(客戶端)當中的源IP地址,所有區域中是否有對於改IP地址的策略,如果有則該請求進入該區域
? 2.進入默認區域
虛擬機desktop0:
# firefox http://172.25.0.11 ?#訪問失敗
# firefox ftp://172.25.0.11 ? #訪問失敗
虛擬機server0:
# firewall-cmd --get-default-zone ? ? ? ?#查看默認區域
# firewall-cmd --zone=public --list-all?
# firewall-cmd --zone=public --add-service=http #添加服務
# firewall-cmd --zone=public --list-all ? #查看區域規則信息
虛擬機desktop0:
# firefox http://172.25.0.11 ?#訪問成功
# firefox ftp://172.25.0.11 ? #訪問失敗
虛擬機server0:
# firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --list-all?
虛擬機desktop0:
# firefox ftp://172.25.0.11 ? #訪問成功
#####################################################
? --permanent選項:實現永久設置
虛擬機server0:
# firewall-cmd --reload ? #重新加載防火墻
# firewall-cmd --zone=public --list-all?
# firewall-cmd --permanent --zone=public ?--add-service=ftp
# firewall-cmd --permanent --zone=public --add-service=http
# firewall-cmd --reload ? #重新加載防火墻
# firewall-cmd --zone=public --list-all?
####################################################
?修改默認的區域,不需要加上--permanent
虛擬機desktop0:
# ping 172.25.0.11 ? ? #可以通信
虛擬機server0:
# firewall-cmd --set-default-zone=block ? #修改默認區域
# firewall-cmd --get-default-zone ? ? ? ? #查看默認區域
虛擬機desktop0:
# ping 172.25.0.11 ? #不可以通信
虛擬機server0:
# firewall-cmd --set-default-zone=drop?
# firewall-cmd --get-default-zone
虛擬機desktop0:
# ping 172.25.0.11 ? #通信無反饋
######################################################
虛擬機server0:?
# firewall-cmd --permanent --zone=public --add-source=172.25.0.10
# firewall-cmd --zone=public --list-all?
# firewall-cmd --reload?
# firewall-cmd --zone=public --list-all
虛擬機desktop0:
# firefox http://172.25.0.11
##################################################
實現本機的端口映射
? 本地應用的端口重定向(端口1 --> 端口2)
– 從客戶機訪問 端口1 的請求,自動映射到本機 端口2
– 比如,訪問以下兩個地址可以看到相同的頁面:
虛擬機desktop0:
# firefox http://172.25.0.11:5423-------》172.25.0.11:80
虛擬機server0:?
# firewall-cmd --permanent --zone=public?
--add-forward-port=port=5423:proto=tcp:toport=80?
# firewall-cmd --reload?
# firewall-cmd --zone=public --list-all
虛擬機desktop0:?
# firefox http://172.25.0.11:5423
LINUX系統工程師技術(Engineer)-------第一天