第十一節課: 第九章,網絡卡繫結與sshd服務
8.4、服務的訪問控制列表
TCPwrappers是RHEL7中預設啟用的流量監控程式,能夠對服務做出允許或拒絕。
TCPwrappers服務由兩個檔案控制:
/etc/hosts.allow //允許控制列表檔案
/etc/hosts.deny //拒絕控制列表檔案
檔案的寫入格式:服務名稱 【物件】
物件可以是單一主機,網段,DNS字尾,主機名稱等。
先匹配允許檔案,後匹配拒絕檔案,一旦匹配,立即跳出,若都沒有匹配上,則預設放行。
第九章
9.1、配置網路服務
配置網絡卡引數
可使用:nmtui、nm-connection-editor、右上角圖形、配置檔案等來配置網絡卡引數。
建立網路會話
網路會話用於不同場所的快速切換網路,例如公司是手動ip,家裡是DHCP,如果用網路會話不用頻繁的切換,自動切換了。
nmcli connection show //檢視會話
nmcli connection add con-name company ifname eno16777736 autoconnect no type ethernet ip4 192.168.10.10/24 gw4 192.168.10.1
//建立名稱為company會話
nmcli connection up company //切換到company會話
繫結兩塊網絡卡
下面是繫結兩塊的相關命令,需要兩塊網絡卡當成一塊使用,另一塊備援:
[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 //從屬網絡卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=eno16777736
MASTER=bond0
SLAVE=yes
[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968 //從屬網絡卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=eno33554968
MASTER=bond0
SLAVE=yes
[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-bond0 //主網絡卡
TYPE=Ethernet
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
DEVICE=bond0
IPADDR=192.168.10.10
PREFIX=24
DNS=192.168.10.1
NM_CONTROLLED=no
網絡卡繫結有三種模式:
mode0:平衡負載模式,兩塊均工作,但需裝置上埠聚合來支援。
mode1:自動備援模式,一塊工作,另一塊備援。
mode6:平衡負載模式,兩塊均工作,且自動備援,無需交換機埠聚合技術支援。
[[email protected] ~]# vim /etc/modprobe.d/bond.conf
alias bond0 bonding
options bond0 miimon=100 mode=6 //模式mode6,切換時間100毫秒
9.2、遠端控制服務
配置sshd服務
sshd服務兩種安全驗證的方法:
基於口令的驗證:用賬戶密碼來驗證登入
基於祕鑰的驗證:本地生成祕鑰對,上傳公鑰至伺服器,與伺服器中公鑰進行比較。
sshd服務中的配置檔案在/etc/ssh/sshd_config檔案中,其中個欄位的說明如下:
Port 22 //預設的sshd服務埠
ListenAddress 0.0.0.0 //設定sshd伺服器監聽的IP地址
Protocol 2 //SSH協議的版本號
HostKey /tc/ssh/ssh_host_key //SSH協議版本為1時,DES私鑰存放的位置
HostKey /etc/ssh/ssh_host_rsa_key //SSH協議版本為2時,RSA私鑰存放的位置
HostKey /etc/ssh/ssh_host_dsa_key //SSH協議版本為2時,DSA私鑰存放的位置
PermitRootLogin yes //設定是否允許root管理員直接登入
StrictModes yes //當遠端使用者的私鑰改變時直接拒絕連線
MaxAuthTries 6 //最大密碼嘗試次數
MaxSessions 10 //最大終端數
PasswordAuthentication yes //是否允許密碼驗證
PermitEmptyPasswords no // 是否允許空密碼登入(很不安全)
ssh 命令用來進行遠端連線。 ssh 【引數】 主機地址
可針對不同的需求來編輯服務配置檔案,如禁止root使用者ssh登入:
安全祕鑰驗證
1、在客戶端生成金鑰對.
ssh-keygen命令用於生成。
2、在客戶端主機,把生成的公鑰檔案傳送至遠端主機(伺服器)
ssh-copy-id 192.168.10.10 //把公鑰檔案傳送至192.168.10.10伺服器
3、對伺服器進行設定,十七隻允許祕鑰驗證,拒絕口令驗證。
4、在客戶端登入遠端主機,無須輸入密碼。
遠端傳輸命令
scp 基於ssh協議在網路之間安全傳輸的命令。 scp 【引數】 本地檔案 遠端賬戶@遠端IP地址:遠端目錄。
-v //顯示詳細的連線進度
-P //指定遠端主機的sshd埠號
-r //用於傳送資料夾
-6 //使用IPv6協議
不間斷會話服務
當突然遠端會話斷開後,正在執行的命令也會隨之中斷,此時需要不間斷會話服務。
screen 是實現多視窗不間斷服務的設計程式。
會話恢復:即便網路中斷,也可以隨時恢復,確保使用者不會失去會話的控制。
多視窗:每個會話獨立執行。
會話共享:多個使用者同事登入到遠端伺服器,可以會話共享。
首先需要安裝screen :yum install screen
screen 用於開啟管理不間斷會話。
-S //建立會話視窗 -d //指定會話進行離線處理
-r //回覆指定會話 -x //一次性回覆所有會話
-ls //顯示當前所有的會話 -wipe //把無法使用的引數刪除
screen -S backup 螢幕會閃動一下,就進入screen模式,然後命令視窗上端顯示screen,使用screen -ls檢視:
會話共享功能
正常開啟screen會話,使用screen -x 開啟會話共享。
複習:網絡卡繫結,ssh禁止管理員登入
預習:第十章,部署Apache