码迷,mamicode.com
首页 > 系统相关 > 详细

linux系统学习第七天-<<工程师技术>>

时间:2017-11-27 16:52:26      阅读:277      评论:0      收藏:0      [点我收藏+]

标签:linux管理员技术   linux工程师技术   linux云计算   深圳云计算王森   云计算运维工程师   

? Security-Enhanced Linux

– 美国NSA国家安全局主导开发,一套增强Linux系统安
全的强制访问控制体系
– 集成到Linux内核(2.6及以上)中运行
– RHEL7基于SELinux体系针对用户、进程、目录和文件
提供了预设的保护策略,以及管理工具

? SELinux的运行模式
– enforcing(强制)、permissive(宽松)
– disabled(彻底禁用)

[root@server0 ~]# getenforce     #查看当前SELinux状态
 Enforcing
[root@server0 ~]# setenforce 0   #设置当前SELinux状态
[root@server0 ~]# getenforce
 Permissive

固定配置:
[root@server0 ~]# vim /etc/selinux/config

SELINUX=permissive

  补充:vim  命令模式   
            C(大写):删除光标之后到行尾,并且进入插入模式

#####################################################
 配置聚合连接(网卡绑定)

    HSRP   备份网关设备

                                     路由器1             路由器2
                                192.168.1.254     192.168.1.253
                                      活跃                     备份
     
                                             虚拟路由器
                                           192.168.1.200
      
       聚合连接  备份网卡设备

                      eth1            eth2
                                  
                              team
                                                  192.168.1.10

 

? team,聚合连接(也称为链路聚合)
– 由多块网卡(team-slave)一起组建而成的虚拟网卡,
即“组队”
– 作用1:轮询式(roundrobin)的流量负载均衡

– 作用2:热备份(activebackup)连接冗余


    热备份配置 :    {"runner":{"name":"activebackup"}}

          man帮助辅助记忆

          /example    #全文查找example
                                          #按n 跳转下一个匹配

[root@server0 ~]# man teamd.conf
          /example   #全文查找example
                                      #按n 跳转下一个匹配

一、添加team团队设备
# nmcli connection add type team
con-name team0  ifname  team0
config '{"runner": {"name": "activebackup"}}'

# cat /etc/sysconfig/network-scripts/ifcfg-team0
# ifconfig  team0

二、添加成员
# nmcli connection add type team-slave
ifname eth1 master team0

# nmcli connection add type team-slave
ifname eth2 master team0

三、配置team0的IP地址
# nmcli connection modify team0       
 ipv4.method manual
 ipv4.addresses 192.168.1.1/24     
 connection.autoconnect yes

四、激活team0
# nmcli connection up team-slave-eth1   #激活从设备eth1
# nmcli connection up team-slave-eth2   #激活从设备eth2
# nmcli connection up team0            #激活主设备team0     

五、验证
# teamdctl team0 state    #专用于查看team信息


删除
# nmcli connection delete team-slave-eth1
# nmcli connection delete team-slave-eth2
# nmcli connection delete team0


#####################################################
 配置IPv6地址

? IPv6 地址表示
– 128个二进制位,冒号分隔的十六进制数
– 每段内连续的前置 0 可省略、连续的多个 : 可简化为 ::

# nmcli connection modify 'System eth0'
ipv6.method manual
ipv6.addresses 2003:ac18::305/64
connection.autoconnect yes

# nmcli connection up 'System eth0'

# ifconfig eth0

# ping6  2003:ac18::305

###################################################

alias别名设置
? 查看已设置的别名
– alias [别名名称]
? 定义新的别名
– alias 别名名称= '实际执行的命令行'
? 取消已设置的别名
– unalias [别名名称]

 

用户个性化配置文件
? 影响指定用户的 bash 解释环境
– ~/.bashrc,每次开启 bash 终端时生效

全局环境配置
? 影响所有用户的 bash 解释环境
– /etc/bashrc,每次开启 bash 终端时生效

[root@server0 ~]# vim /root/.bashrc      #影响root文件
    alias hello='echo hello'  
[root@server0 ~]# vim /home/student/.bashrc #影响student文件
    alias hi='echo hi'  
[root@server0 ~]# vim /etc/bashrc    #全局配置文件        
    alias haha='echo xixi'

  退出远程登陆,从新远程server0验证
[root@server0 ~]# hello        #成功
[root@server0 ~]# hi           #失败
[root@server0 ~]# haha         #成功
[root@server0 ~]# su - student
[student@server0 ~]$ hello      #失败
[student@server0 ~]$ hi        #成功
[student@server0 ~]$ haha       #成功
[student@server0 ~]$ exit
####################################################

 防火墙策略管理(firewall)

 一、搭建基本Web服务

  服务端:  httpd(软件)
  1.server0上安装httpd软件
  2.server0启动httpd服务,设置开机自起
    默认情况下:Apache没有提供任何页面

    默认Apache网页文件存放路径:/var/www/html
    默认Apache网页文件名称:index.html

[root@server0 ~]# systemctl restart httpd
[root@server0 ~]# systemctl enable httpd

[root@server0 ~]# vim /var/www/html/index.html

 <marquee><font color=green><h1>My First Web

[root@server0 ~]# firefox 172.25.0.11


二、FTP服务的搭建
  服务端:  vsftpd(软件)
  1.server0上安装 vsftpd软件
  2.server0启动 vsftpd服务,设置开机自起
     默认共享的位置:/var/ftp

测试
[root@server0 ~]# firefox ftp://172.25.0.11

   
###################################################
 防火墙策略管理(firewall)

   作用:隔离
            阻止入站,允许出站

  ? 系统服务:firewalld
  ? 管理工具:firewall-cmd(命令)、firewall-config(图形)

 查看防火墙服务状态
[root@server0 ~]# systemctl status firewalld.service


? 根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd等少数几个服务
– trusted:允许任何访问
– block:拒绝任何来访请求
– drop:丢弃任何来访的数据包

 防火墙判断的规则:匹配及停止

  1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于改IP地址的策略,如果有则该请求进入该区域
  2.进入默认区域


虚拟机desktop0:
# firefox http://172.25.0.11  #访问失败
# firefox ftp://172.25.0.11   #访问失败
虚拟机server0:
# firewall-cmd --get-default-zone        #查看默认区域
# firewall-cmd --zone=public --list-all
# firewall-cmd --zone=public --add-service=http #添加服务
# firewall-cmd --zone=public --list-all   #查看区域规则信息
虚拟机desktop0:
# firefox http://172.25.0.11  #访问成功
# firefox ftp://172.25.0.11   #访问失败
虚拟机server0:
# firewall-cmd --zone=public --add-service=ftp
# firewall-cmd --zone=public --list-all
虚拟机desktop0:
# firefox ftp://172.25.0.11   #访问成功
#####################################################
  --permanent选项:实现永久设置

虚拟机server0:

# firewall-cmd --reload   #重新加载防火墙
# firewall-cmd --zone=public --list-all

# firewall-cmd --permanent --zone=public  --add-service=ftp
# firewall-cmd --permanent --zone=public --add-service=http

# firewall-cmd --reload   #重新加载防火墙
# firewall-cmd --zone=public --list-all

####################################################
 修改默认的区域,不需要加上--permanent


虚拟机desktop0:
# ping 172.25.0.11     #可以通信
虚拟机server0:
# firewall-cmd --set-default-zone=block   #修改默认区域
# firewall-cmd --get-default-zone         #查看默认区域

虚拟机desktop0:
# ping 172.25.0.11   #不可以通信

虚拟机server0:
# firewall-cmd --set-default-zone=drop
# firewall-cmd --get-default-zone
虚拟机desktop0:
# ping 172.25.0.11   #通信无反馈

######################################################

虚拟机server0:
# firewall-cmd --permanent --zone=public --add-source=172.25.0.10

# firewall-cmd --zone=public --list-all
# firewall-cmd --reload
# firewall-cmd --zone=public --list-all

虚拟机desktop0:
# firefox http://172.25.0.11

##################################################
实现本机的端口映射
? 本地应用的端口重定向(端口1 --> 端口2)
– 从客户机访问 端口1 的请求,自动映射到本机 端口2
– 比如,访问以下两个地址可以看到相同的页面:

虚拟机desktop0:
# firefox http://172.25.0.11:5423-------》172.25.0.11:80

虚拟机server0:
# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80

# firewall-cmd --reload

# firewall-cmd --zone=public --list-all


虚拟机desktop0:
# firefox http://172.25.0.11:5423

#####################################################


linux系统学习第七天-<<工程师技术>>

标签:linux管理员技术   linux工程师技术   linux云计算   深圳云计算王森   云计算运维工程师   

原文地址:http://blog.51cto.com/13426941/2044717

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!